WAAPとWAFとしてのCloudflareのポジショニングは?(ちょっと、調べてみました)

WAAPとWAFとしてのCloudflareのポジショニングは?(ちょっと、調べてみました)

Cloudflareの「CDN」を調べていると「WAF」や「WAAP」というキーワードが出てきます。あまり詳しくないので、ちょっと調べてみました。WAFは、「Web Application Firewall」の略。WAAPは、WAFに加えて強化されていくべき機能を定義した次世代WAFのコンセプトのことでした。そして、Cloudflareは、WAAPやWAFのリーダーの一社として評価されているそうです。
Clock Icon2023.08.17

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

WAAPとは

ガートナーが提唱する次世代WAFのコンセプトを表す「Web Application and API Protection」(WebアプリケーションとAPI保護)の略です。WAFに加えて、3つのコア機能が必要とされてます。

  1. APIセキュリティー
  2. Bot対策
  3. DDoS対策

CDNサービス環境下の配信元サーバーに対する攻撃は、実質的に世界各地に配置されたエッジサーバーに向けて実行されます。WAF、または、WAAPをエッジサーバーの前に配置(デプロイ)することで、エッジサーバー(配信元サーバー)を守ります。

WAFとは

「Web Application Firewall」の略です。WAFは、Webアプリケーションへの攻撃を防ぐことができます。ただし、Webアプリケーションへの攻撃が巧妙化・高度化しており、次世代防御ツールとして、WAAPの必要性が求められています。

一般的にWAFで防御できるとされる攻撃の例

  • SQLインジェクション  ≪検索ボックスや入力フォームにSQLと呼ばれるDB操作コマンドを入力して、DBの消去や改ざんを行う攻撃≫
  • Brute Force Attack  ≪不正にログインするためのIDやパスワードを入手するための攻撃です。日本では総当たり攻撃と訳される。≫
  • OSコマンドインジェクション  ≪WebサーバーのOSコマンドを不正に実行されてしまう問題とそこを突いた攻撃です。≫
  • クロスサイトスクリプティング  ≪Webページを出力するWebアプリケーションの出力処理の問題とそこを突いた攻撃です。≫
  • バッファーオーバーフロー  ≪Webアプリケーションが用意した領域を超える情報を上書きして、意図しないコードを実行してしまう問題とそこを突いた攻撃です。≫
  • DDoS攻撃  ≪標的またはその周辺に大量のトラフィックを送り付ける悪意のある攻撃です。≫
  • ディレクトリー・トラバーサル  ≪外部からファイル名を指定して実行するWebアプリケーションのファイル名指定の問題とそこを突いた攻撃です。≫

CDNサービス環境下の配信元サーバーに対する攻撃は、実質的に世界各地に配置されたエッジサーバーに向けて実行されます。WAFをエッジサーバーの前に配置(デプロイ)することで、エッジサーバー(配信元サーバー)を守ります。

Cloudflareのポジションは?

Cloudflareは、WAAPを定義したガートナー社により、WAAPのリーダーの一社として評価されました。「WebアプリケーションとAPI保護(WAAP)部門のMagic Quadrant™」は、 ブログ記事 調査資料のダウンロードサービス などをご覧ください。

Cloudflareでは、次の機能がWAAP(WebアプリケーションとAPI保護)に該当していると考えています。

  • DDoS攻撃対策と軽減策
  • Webアプリケーションファイアウォール
  • Bot管理
  • API Gateway
  • Page Shield
  • セキュリティーセンター

まとめ

Cloudflareは、WAAPというガートナーが提唱する次世代WAFのコンセプトに沿ったリーダーの一社として評価され、安全なコンテンツ配信ネットワークサービスを提供していることが分かりました。また、WAFというカテゴリーの複数の調査会社においても、リーダーの一社として評価されているようです。

もう少し、深く知ってみたい方は、Cloudflareの公式情報などを参照してみてください。

参考情報、出典

Cloudflare (English)

Cloudflare (日本語)

そのほか

Cloudflare リンク集

Cloudflareに関するメディア掲載記事(Published in an IT magazine)

Cloudflare 報道発表資料(Published in PRTIMES)

Classmethod

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.