Akamai Diversity

Akamai Japan ブログ

Luna セキュリティレポートの確認方法

みなさん、こんにちは。
アカマイ・テクノロジーズ西日本支店の熊澤です。

今日は、Lunaのセキュリティレポートの見方のおさらいをしたいと思います。

前回、Lunaのサイト配信系レポートの見方を解説しましたが、今回はセキュリティセンターの解説をします。

Akamaiのセキュリティプロダクトを使っていただいているお客様でとても問い合わせが多い内容となっております。

会員数1100万人を超える業界最大級のチケット販売サイト「e+(イープラス)」を運営するイープラスは、以前からチケット転売目的の買い占めと疑われるボット(自動実行プログラム)の高頻度のアクセスに悩まれ、これまでも様々な対策に取り組まれてきましたが、CAPTCHA(難読文字によるボット判定)を突破するなど高度になったボットを上回る、最新の対策を求めていました。

そこで「ふるまい検知」と「機械学習」を駆使する、Akamai Bot Manager Premier (以下BMP)を導入し、直後の先着チケット販売開始後、30分間の分析を試みたところ、全アクセスの9割超がボットによるアクセスと判明。これをブロックすることで、悪質なボットによるアクセスをブロックし、転売目的のチケット買占め問題が改善しました。

イープラスはどのような経緯でBot Manager Premier を導入し、どのような効果を得たのか?また、導入後どのような点を高く評価したのか?

詳しくご覧頂ける、事例をPDFとビデオでご用意しました。いますぐダウンロードしてご確認ください。

また、本ブログではこの事例を読み解くいくつかのポイントについて解説します。

※ この文書は、CVE-2018-11776 に関するAkamai Blogの抄訳です。最新の情報については元ドキュメントをご参照ください。

8月22日水曜日、ApacheチームはApache Struts2フレームワークの新たな脆弱性を修正しました。 Apache Strutsは、Java Webアプリケーションを開発するためのオープンソースのWebアプリケーションフレームワークです。次の条件の両方を満たす場合にリモートで任意のコードが実行される脆弱性(CVE-2018-11776)が存在します。

  1. Strutsの設定で alwaysSelectFullNamespaceをtrueに設定している場合
  2. Struts設定ファイルにオプションのnamespace属性を指定しないか、ワイルドカードネームスペースを指定する"action"タグ、(または"url"タグ)が含まれている場合

影響を受けるバージョンは、 Apache Strutsフレームワークの Struts 2.3~Struts 2.3.34、および Struts 2.5~Struts 2.5.16です。影響を受けるバージョンを現在実行している場合、悪意のあるユーザーが、HTTP要求を介してカスタムネームスペースパラメータを注入することにより、システム上でコードをリモート実行できます。

Akamai による API セキュリティの最大化

昨今注目が集まっているAPI(Application Programming Interface)、そのアクセス方式自体は以前から利用されているテクノロジーですが、近年の IoT、デジタライゼーション、デジタルトランスフォーメーションという市場の波を受けて、Open API という新たな取り組みが急速に発展・利用されるようになり、企業のビジネス・IT双方の担当者の中でも非常に重要なトピックとなっております。

Open API は企業に対して新しい革新的なビジネスモデルを創造する力を提供しますが、同時にインターネット上にAPIを広く公開することに伴い、脅威に対して新たな脆弱性のポイントを提供し、攻撃を増加させる可能性があります。APIに対しての適切な保護を怠ると「正当なユーザーによる意図しない誤用」、「ダウンタイムや悪意のある攻撃にさらされる可能性」が生じると言えます。よって、これらの悪意のある攻撃や悪用シナリオに対する備えが、APIセキュリティアーキテクチャの一部として備わっている必要があります。

Akamai では Open API を適切に保護する目的として、大きく2つの強力なソリューションを提供しております。

  • Akamai API Gateway: 正当なAPIコンシューマの検証とAPIへのガバナンスの追加
  • Akamai Kona Site Defender(API Protection 等) / Bot Manager: 悪意のあるトラフィックから APIエンドポイントを保護

AkamaiJapanBlog_API_Security_Overview_01.png

これらのソリューションは連携して API 用の包括的なセキュリティーアーキテクチャ構築に役立てることが可能です。以降、5つのユースケースを通して各ソリューションによるAPI保護方法を説明させていただきます。

※ この記事は2018.5.31に執筆されたDeveloper Blogの記事を翻訳した内容を元に作成しています。
 
前回の記事ではキャッシングを使用してAPIのパフォーマンスを向上させる方法について説明しました。
今回はアカマイがCDN配信、ルーティング、およびレスポンスキャッシュ機能を使用してアプリケーションキャッシングの結果を向上させる方法を見てみましょう。最初に説明するテストでは、テストAPIを使用してアカマイでのキャッシュの有無にかかわらずスループット率を比較します。次にアカマイでのキャッシュ実装による効果を説明します。最後にAkamai API Gatewayを使用して環境を構成するための手順について説明します。

アカマイはAPI Gatewayという新製品を発売しましたが、この記事ではAPIをキャッシュする意義についてお伝えしたいと思います。

※ この記事は2018.5.31に執筆されたDeveloper Blogの記事を翻訳した内容を元に作成しています。
 
多くの開発者がAPIキャッシングについてどのように動作するのか、それがもたらす利点をより深く理解したいと考えています。APIのキャッシングの採用は、各APIのキャッシングルールを定義し管理するツールがないために制限されていました。(従来は、レスポンスをキャッシュする要件がAPIごとに異なるため、複数のAPIにキャッシングルールを設定することは現実的ではありませんでした)  
このブログ記事はさまざまな実装シナリオのレビューを通じて、APIレスポンスのキャッシュの利点を理解するのに役立ちます。

VPNは過去のものか?

※ この記事は2018.5.21に執筆されたThe Akamai Blogの記事を翻訳した内容を元に作成しています。

 

2018年に世界のインターネット利用者は40億人を超え、その増加ペースは今も留まるところを知りません。1990年代から続くインターネットの歩みの中で、様々な形態のVirtual Private Network (以降VPN)が生まれてきました。そしてVPNは"セキュアである"という前提のもと、今では当たり前のように利用され、企業の生産性の向上にも貢献してきました。しかしここ数年に起きたサイバー犯罪によって、既にその前提が崩れ始めていることをご存知でしょうか。

※ このBlog 記事は2018.5.17に執筆されたThe Akamai Blogの 記事を翻訳した内容を元に作成しています。

フィッシングサイトへのアクセス、マルウェアのダウンロード、そして標的型攻撃の脅威は日々高まっており、被害のニュースは枚挙にいとまがありません。

この様な脅威を防ぐ方法として、DNSリクエストを精査して怪しいドメインへの接続を遮断する事が有効です。

アカマイでは、1日に1.7兆を超える圧倒的な量のDNSリクエストを処理しており、これを専門のセキュリティ・インテリジェンスチームが分析する事で高い精度を誇る脅威対策を実現しています。

secure-on-chalkboard-with-locks_925x.jpg

はじめに

2017年10月11日にアカマイはBot Manager Premier という製品を発表しました。

この製品には、既存の製品であるBot Manager StandardによるWebサイト全体に対する多種多様なボット管理ソリューションに加え、ログインページへのボットによる不正アクセス検知・遮断に特化したソリューションが追加されております。

このブログではログインページ、ひいてはパスワード管理が抱えるセキュリティ課題と、どのようにBot Manager Premierが人かボットかを識別し、お客様のWebサイトをよりセキュアにすることを実現するのかを解説したいと思います。

オンデマンドで定額課金制のサービスが主流の動画配信業界において、国内ではサイバーエージェントが、無料のインターネットテレビ、AbemaTVを立ち上げました。日本では、唯一とも言われるリニア動画で無料サービスという位置づけとなり、海外の名だたるOTTサービスと比較しても先進的な取り組みをしていると思います。

このインターネットライブ配信 x 広告というビジネスモデルはとても注目されており、国内でこういったビジネスが立ち上がってくることは、とてもワクワクしますね。

一方で、サイバーエージェントの藤田社長が決算発表でおっしゃっていた通り、このネット動画配信と広告モデルを確立させるというのにはそれなりにチャレンジがあるのだろうとも思います。

国内では前例がないチャレンジだけに、

無料ネット動画配信x広告配信で成功している会社は世界にあるのか?

日本でもネット無料テレビのビジネスモデルは立ち上がるのか?

という点について、おそらく多くの人々が疑問や意見を持ち、そして答えを探しているのではないでしょうか。

 

では皆さん、世界中でネットの無料ライブ配信+広告モデルで成功している例はあると思いますか?

<< 1 2 3 4 5 6 7 8 9 10