IIJ、Web APIセキュリティサービス「IIJ Safous WAAP」を海外向けに提供 | IIJについて

ゼロトラストアクセス技術を応用した保護機能でAPIエンドポイントへの攻撃リスクをゼロに

2023年6月26日
株式会社インターネットイニシアティブ

当社は、ECサイトやオンラインバンキングなどのWebサービスで使用されるWeb API（※1）の脆弱性を狙った攻撃を防御するWeb APIセキュリティサービス「IIJ Safous WAAP（セーファスワープ）」を、本日より主にグローバルにビジネスを展開する日系企業および東南アジアを中心とした現地企業向けに提供開始いたします。
Webアプリケーションの提供・開発事業者は、エンドユーザに配布するモバイルアプリに本サービスのモジュールを組み込むことで、モバイルアプリとWebサービスのサーバ間で適切に認証され、アプリユーザだけがセキュアにWebサービスにアクセスすることが可能になります。この方式により、一般的なWAAP（※2）製品とは異なり、第三者にはWeb APIが秘匿された状態になり、ゼロデイ攻撃やその他の情報窃取や改ざんの意図を持つ攻撃からWeb APIを防御することができます。

（※1）API（Application Programming Interface）：ソフトウェアやプログラム、Webサービスの間をつなぐインターフェースです。
（※2）WAAP（Web Application and API Protection）：2017年にGartnerが提唱したWAFの発展技術として提唱したコンセプトです。

Web APIは、様々なWebサービスで使用されています。例えば、ECサイトやオンラインバンキングなどのWebサービスでは、Web APIを使って、Webサーバ側の機能をネットワーク経由でユーザ側のモバイルアプリと連携させることによって、リアルタイムの情報表示や充実した情報検索などサービスの利便性を支えています。またDX時代である昨今、IoTサービスのように機器同士、アプリケーション同士をつないでのデータ流通が加速的に増えており、ここでもWeb APIを使った連携が行われています。こうしたWebサービスが増えるにつれて、Webシステムに加えてWeb API自体がサイバー攻撃の対象となり、その被害件数および被害額は拡大しています。このため、機密情報を扱う銀行、カード会社、保険会社など金融機関、ヘルスケア事業者が提供するWebサービスにおいては、Web APIセキュリティの対策強化が急務となっています。
当社ではまず、Web APIセキュリティ市場の急速な拡大が見込まれる東南アジアでビジネス展開する現地企業やグローバル企業向けに、さらにはそれら企業向けにモバイルアプリを開発する事業者向けに本サービスの提供を開始いたします。サービス開始当初はモバイルアプリ向けにサービスを提供しますが、今後はさらに対応範囲を広げ、IoT機器やサーバからのアクセスにも対応できるよう、SDK（Software Development Kit）（※3）を開発し、提供していく予定です。

（※3）SDK（Software Development Kit）：Webアプリケーションなどソフトウェアを開発するために必要なプログラムやライブラリがパッケージにして提供されている開発ツールです。

本サービスの主な特徴

ゼロトラストアクセス技術を応用し、アプリを利用するユーザのみがWeb APIを利用できます。防御対象のWeb APIには、第三者がインターネット上から到達できないため、理論上攻撃リスクをゼロにすることができ、ゼロデイ攻撃や対策の遅れた脆弱性を狙った攻撃から完全に保護することができます。加えて、攻撃の通信に対し監視・防御を行う従来製品に比べて、サービスインフラの負荷を大幅に軽減できるため安価にご提供が可能です。
また、本サービスでは、WebアプリケーションのセキュリティであるWAF（Web Application Firewall）機能やDDoS対策機能が含まれており、Web APIのセキュリティ対策とあわせてご利用いただくことが可能です。