IIJ Safous IIJ Safous WAAP
ゼロトラストベースのWeb APIセキュリティサービス
Safous WAAPは、Web APIの脆弱性を狙った攻撃を防御する、ゼロトラストベースのWeb APIセキュリティサービスです。アプリケーション側の脆弱性リスクを排除することで、安全な環境を提供します。
WAAPとは「Web Application and API Protection」の略称で、2017年にGartnerがWAFの発展技術として提唱したコンセプトです。サイバー攻撃の手法が多様化し、手口がますます巧妙化する中で、WAFのWebアプリケーションの保護だけでなく、ボット対策・DDoS対策・APIの保護など、セキュリティ機能を更に強化し、Webアプリケーションを脅威から守ります。
IIJ Safous WAAPの特長
-
特長1 APIエンドポイントへの攻撃リスクをゼロに
- ゼロトラストアーキテクチャを応用し、インターネット上からWeb APIを秘匿化することで直接的な攻撃を排除
- 防御対象のWeb APIが秘匿化されることで攻撃リスクを大幅に低減。ボット攻撃に対しても有効
-
特長2 ハイレベルな認証とアクセスコントロール
- モバイルアプリケーションや、デバイスからのアクセスに対して強固な認証の仕組みを追加し、適切なアクセス制御を実現
- 認可ポリシーはIPアドレスや国、時間の指定などの設定が可能
- 通信を認可されたアプリ・デバイスのみに限定することで、アプリケーションとデータを保護
-
特長3 DDoS攻撃をはじめとするWebアプリケーションへの脆弱性対策
- DDoS対策機能はSafousグローバルPOP上でご提供。WAF機能はAuth Gateway上で稼働し、SQLiやXSSといった基本的なWebの脆弱性攻撃から防御
- DDoS対策、WAF機能をマネージド型でご提供。運用にかかる手間やコストを大幅に低減
-
特長4 認証モジュールの提供
コネクタモジュールとしてアプリケーション・デバイス側に組み込むため、以下のモジュールをSDKとしてご提供。
Android Native(Android Studio)、iOS Native(Xcode) -
特長5 他社と異なるアプローチ
ゼロトラストアクセス技術を応用することで、アプリケーションのユーザのみがWeb APIを利用可能。防御対象のWeb APIにはインターネット上から到達できないため、第三者による攻撃リスクをゼロにし、ゼロデイ攻撃や脆弱性を狙った攻撃から完全に保護できます。
Safous WAAP 一般的なWAAPベンダー インバウンドアクセス 受け付けない 受け付ける API
エンドポイント発見不可能- インターネット上から到達できないため、第三者からの攻撃は不可能
- 攻撃できないため、脆弱性リスクがない
発見可能- 誰からでもアクセス可能
- 攻撃自体を防ぐことは不可能
その他 - 認証・認可されたアクセスのみ可能
- DDoS、WAF(ベーシック) 機能が含まれている
- 高価なHWやソフトウェアが必要
- セキュリティ運用が必要
IIJ Safous WAAPの活用例
Safous WAAPは特定の会員向けアプリケーションと、そのデータ保護に適しています。Web APIを利用するECサイトやオンラインバンキングなど、Webサービスのモバイルアプリを開発する事業者向けにサービスを提供します。
-
モバイルアプリケーション
- 金融系
- モバイルバンキング、保険、証券
- ヘルスケア
- ケアマネジメント
- エデュケーション
- E-ラーニング
-
IoTアクセス
- IoT
- トラフィックカウンター
各種メーター(ガス、電気、水)など
-
データ交換や提供
- 会員向けデータ交換・提供サービス
- 金融データ、個人情報、分析データなど