Akamai Diversity

Akamai Japan ブログ

August 2018 Archives

Kazuhiro Nakanishi

Kazuhiro Nakanishi

August 29, 2018 11:13 AM

イープラスがチケット買い占めボットを撃退!導入事例と読み解きポイント

会員数1100万人を超える業界最大級のチケット販売サイト「e+(イープラス)」を運営するイープラスは、以前からチケット転売目的の買い占めと疑われるボット(自動実行プログラム)の高頻度のアクセスに悩まれ、これまでも様々な対策に取り組まれてきましたが、CAPTCHA(難読文字によるボット判定)を突破するなど高度になったボットを上回る、最新の対策を求めていました。 そこで「ふるまい検知」と「機械学習」を駆使する、Akamai Bot Manager Premier (以下BMP)を導入し、直後の先着チケット販売開始後、30分間の分析を試みたところ、全アクセスの9割超がボットによるアクセスと判明。これをブロックすることで、悪質なボットによるアクセスをブロックし、転売目的のチケット買占め問題が改善しました。 イープラスはどのような経緯でBot Manager Premier を導入し、どのような効果を得たのか?また、導入後どのような点を高く評価したのか? 詳しくご覧頂ける、事例をPDFとビデオでご用意しました。いますぐダウンロードしてご確認ください。 また、本ブログではこの事例を読み解くいくつかのポイントについて解説します。

Kazuhiro Nakanishi

Kazuhiro Nakanishi

August 27, 2018 4:23 PM

Apache Struts2 の脆弱性(CVE-2018-11776)について

※ この文書は、CVE-2018-11776 に関するAkamai Blogの抄訳です。最新の情報については元ドキュメントをご参照ください。 8月22日水曜日、ApacheチームはApache Struts2フレームワークの新たな脆弱性を修正しました。 Apache Strutsは、Java Webアプリケーションを開発するためのオープンソースのWebアプリケーションフレームワークです。次の条件の両方を満たす場合にリモートで任意のコードが実行される脆弱性(CVE-2018-11776)が存在します。 Strutsの設定で alwaysSelectFullNamespaceをtrueに設定している場合 Struts設定ファイルにオプションのnamespace属性を指定しないか、ワイルドカードネームスペースを指定する"action"タグ、(または"url"タグ)が含まれている場合 影響を受けるバージョンは、 Apache Strutsフレームワークの Struts 2.3~Struts 2.3.34、および Struts 2.5~Struts 2.5.16です。影響を受けるバージョンを現在実行している場合、悪意のあるユーザーが、HTTP要求を介してカスタムネームスペースパラメータを注入することにより、システム上でコードをリモート実行できます。

佐々木 貴志

佐々木 貴志

August 23, 2018 8:55 AM

Akamai による API セキュリティの最大化

昨今注目が集まっているAPI(Application Programming Interface)、そのアクセス方式自体は以前から利用されているテクノロジーですが、近年の IoT、デジタライゼーション、デジタルトランスフォーメーションという市場の波を受けて、Open API という新たな取り組みが急速に発展・利用されるようになり、企業のビジネス・IT双方の担当者の中でも非常に重要なトピックとなっております。 Open API は企業に対して新しい革新的なビジネスモデルを創造する力を提供しますが、同時にインターネット上にAPIを広く公開することに伴い、脅威に対して新たな脆弱性のポイントを提供し、攻撃を増加させる可能性があります。APIに対しての適切な保護を怠ると「正当なユーザーによる意図しない誤用」、「ダウンタイムや悪意のある攻撃にさらされる可能性」が生じると言えます。よって、これらの悪意のある攻撃や悪用シナリオに対する備えが、APIセキュリティアーキテクチャの一部として備わっている必要があります。 Akamai では Open API を適切に保護する目的として、大きく2つの強力なソリューションを提供しております。 Akamai API Gateway: 正当なAPIコンシューマの検証とAPIへのガバナンスの追加 Akamai Kona Site Defender(API Protection 等) / Bot Manager: 悪意のあるトラフィックから APIエンドポイントを保護 これらのソリューションは連携して API 用の包括的なセキュリティーアーキテクチャ構築に役立てることが可能です。以降、5つのユースケースを通して各ソリューションによるAPI保護方法を説明させていただきます。

Junya Hasegawa

Junya Hasegawa

August 10, 2018 5:44 PM

Akamai API Gatewayを使用したアプリケーションキャッシング結果を改善する方法

※ この記事は2018.5.31に執筆されたDeveloper Blogの記事を翻訳した内容を元に作成しています。 前回の記事ではキャッシングを使用してAPIのパフォーマンスを向上させる方法について説明しました。 今回はアカマイがCDN配信、ルーティング、およびレスポンスキャッシュ機能を使用してアプリケーションキャッシングの結果を向上させる方法を見てみましょう。最初に説明するテストでは、テストAPIを使用してアカマイでのキャッシュの有無にかかわらずスループット率を比較します。次にアカマイでのキャッシュ実装による効果を説明します。最後にAkamai API Gatewayを使用して環境を構成するための手順について説明します。

Junya Hasegawa

Junya Hasegawa

August 9, 2018 4:21 PM

キャッシングによるAPIパフォーマンスの向上

アカマイはAPI Gatewayという新製品を発売しましたが、この記事ではAPIをキャッシュする意義についてお伝えしたいと思います。 ※ この記事は2018.5.31に執筆されたDeveloper Blogの記事を翻訳した内容を元に作成しています。 多くの開発者がAPIキャッシングについてどのように動作するのか、それがもたらす利点をより深く理解したいと考えています。APIのキャッシングの採用は、各APIのキャッシングルールを定義し管理するツールがないために制限されていました。(従来は、レスポンスをキャッシュする要件がAPIごとに異なるため、複数のAPIにキャッシングルールを設定することは現実的ではありませんでした) このブログ記事はさまざまな実装シナリオのレビューを通じて、APIレスポンスのキャッシュの利点を理解するのに役立ちます。