WAAPとWAFとしてのCloudflareのポジショニングは？（ちょっと、調べてみました）

WAAPとは

ガートナーが提唱する次世代WAFのコンセプトを表す「Web Application and API Protection」（WebアプリケーションとAPI保護）の略です。WAFに加えて、3つのコア機能が必要とされてます。

1. APIセキュリティー
2. Bot対策
3. DDoS対策

CDNサービス環境下の配信元サーバーに対する攻撃は、実質的に世界各地に配置されたエッジサーバーに向けて実行されます。WAF、または、WAAPをエッジサーバーの前に配置（デプロイ）することで、エッジサーバー（配信元サーバー）を守ります。

WAFとは

「Web Application Firewall」の略です。WAFは、Webアプリケーションへの攻撃を防ぐことができます。ただし、Webアプリケーションへの攻撃が巧妙化・高度化しており、次世代防御ツールとして、WAAPの必要性が求められています。

一般的にWAFで防御できるとされる攻撃の例

• SQLインジェクション  ≪検索ボックスや入力フォームにSQLと呼ばれるDB操作コマンドを入力して、DBの消去や改ざんを行う攻撃≫
• Brute Force Attack  ≪不正にログインするためのIDやパスワードを入手するための攻撃です。日本では総当たり攻撃と訳される。≫
• OSコマンドインジェクション  ≪WebサーバーのOSコマンドを不正に実行されてしまう問題とそこを突いた攻撃です。≫
• クロスサイトスクリプティング  ≪Webページを出力するWebアプリケーションの出力処理の問題とそこを突いた攻撃です。≫
• バッファーオーバーフロー  ≪Webアプリケーションが用意した領域を超える情報を上書きして、意図しないコードを実行してしまう問題とそこを突いた攻撃です。≫
• DDoS攻撃  ≪標的またはその周辺に大量のトラフィックを送り付ける悪意のある攻撃です。≫
• ディレクトリー・トラバーサル  ≪外部からファイル名を指定して実行するWebアプリケーションのファイル名指定の問題とそこを突いた攻撃です。≫

CDNサービス環境下の配信元サーバーに対する攻撃は、実質的に世界各地に配置されたエッジサーバーに向けて実行されます。WAFをエッジサーバーの前に配置（デプロイ）することで、エッジサーバー（配信元サーバー）を守ります。

Cloudflareのポジションは？

Cloudflareは、WAAPを定義したガートナー社により、WAAPのリーダーの一社として評価されました。「WebアプリケーションとAPI保護（WAAP）部門のMagic Quadrant™」は、 ブログ記事 や調査資料のダウンロードサービス などをご覧ください。

Cloudflareでは、次の機能がWAAP（WebアプリケーションとAPI保護）に該当していると考えています。

• DDoS攻撃対策と軽減策
• Webアプリケーションファイアウォール
• Bot管理
• API Gateway
• Page Shield
• セキュリティーセンター

まとめ

Cloudflareは、WAAPというガートナーが提唱する次世代WAFのコンセプトに沿ったリーダーの一社として評価され、安全なコンテンツ配信ネットワークサービスを提供していることが分かりました。また、WAFというカテゴリーの複数の調査会社においても、リーダーの一社として評価されているようです。

もう少し、深く知ってみたい方は、Cloudflareの公式情報などを参照してみてください。

参考情報、出典

Cloudflare (English)

• ダウンロードサービス
  • ガートナー： Cloudflare Named a Leader in the Gartner® Magic Quadrant™ for Web Application and API Protection (WAAP) ≪WAAPのMagic Quadrant図あり≫
  • Forrester ： Cloudflare Named a Leader in the Forrester Wave™: Web Application Firewalls, Q3 2022
• 用語解説
  • What is a DDoS attack?
  • What is a WAF?
• tech blog
  • 2022/9/7 Cloudflare named a Leader by Gartner
• clloudflare docs
  • WAF
  • Firewall Rules
  • Ruleset Engine
  • DDoS Protection
  • API Shield
  • Bots
  • Pages
  • Security Center
  • Products
• Cloudflare System Status
• Analyst Report

Cloudflare (日本語)

•  ダウンロードサービス
  • ガートナー： CloudflareがGartner®「WebアプリケーションとAPI保護（WAAP）部門のMagic Quadrant™」でリーダーの１社と位置づけ ≪WAAPのMagic Quadrant図あり≫
  • Forrester ： 2022年第3四半期の『Forrester Wave™：Web Application Firewalls』レポートでリーダーに認定されました。
• 用語解説
  • DDoS攻撃とは
  • WAFとは
• tech blog
  • 2022/9/7 GartnerがCloudflareを「リーダー」に選出
• アナリストレポート

そのほか

• Gartner（2017/10/24）： Defining Cloud Web Application and API Protection Services ≪ガートナーによるWAAPの定義≫

  • Cloud web application and API protection service is the evolution of cloud-delivered web application firewall services. Security and risk management leaders need to determine how cloud WAAP services will improve their security posture.

• NRIセキュア： 今求められるWAAPとは
• 損保サイバーセキュリティー： WAAPとは
• サイバーセキュリティ情報局：ウェブサイトを保護する「WAF」と次世代型ソリューション「WAAP」はどこが違うのか
• IPA 情報処理推進機構
  • 「情報セキュリティ10大脅威 2023」
  • 安全なWebサイトの作り方
    • SQLインジェクション
    • OSコマンド・インジェクション
    • ディレクトリー・トラバーサル
    • クロスサイトスクリプティング
    • バッファーオーバーフロー

Cloudflare リンク集

Cloudflareに関するメディア掲載記事（Published in an IT magazine）

Cloudflare 報道発表資料（Published in PRTIMES）

Classmethod

• • 「WAF」タグの記事一覧
    • 「AWS WAF」タグの記事一覧
  • 「WAAP」タグの記事一覧
    • 「F5 Distributed Clooud WAAP」タグの記事一覧
  • 「Cloudflare」タグの記事一覧