Akamai Diversity

Akamai Japan ブログ

Mio Tsuchihashi

Mio Tsuchihashi

October 16, 2018 5:10 PM

API Rate Limitingの解説

前回の記事、前々回の記事ではキャッシングを使用してAPIのパフォーマンスを向上させる方法とアカマイのCDN配信、ルーティング、およびレスポンスキャッシュ機能を使用してアプリケーションキャッシングの結果を向上させる方法についてご説明しました。 今回はAPI Rate Limitingの2つの方法とアカマイソリューションの適用範囲についてご紹介します。 ※ この記事は2018.5.31に執筆されたDeveloper Blogの記事を翻訳した内容を元に作成しています。

Kazuhiro Nakanishi

Kazuhiro Nakanishi

October 6, 2018 5:32 PM

Apache Struts2脆弱性攻撃のゼロデイ防御に成功!

ウェブに関連する脆弱性公開直後からの「ゼロデイ攻撃」がセキュリティ上の大きな課題となっています。パッチなどの対策が間に合わないサーバーがその標的となります。2017年3月以降のApache Struts2の脆弱性を狙った攻撃で国内のサイトからも大規模な情報漏えいが多発したことは記憶に新しいところです。 これらのゼロデイ攻撃に対し、アカマイの「Client Reputation (以下CR)」が、先日公開されたApache Struts 2の新たな脆弱性(CVE-2018-11776)を狙った攻撃を、本脆弱性の公開前からブロックしていたことが明らかになりました。CRは、アカマイの有する攻撃情報に関するビッグデータをほぼリアルタイムに解析し、ウェブの防御に反映する最先端のしくみです。 CRを含むアカマイWAFのゼロデイ攻撃への対応能力については、Forrester社がまとめた最新のWAFベンダー10社比較調査「Forrester Wave™:Web Application Firewalls, Q2 2018」で最高評点を得るなど高い評価を得ていますが、今回行った分析により、ゼロデイ攻撃に対する有効性が改めて実証されました。その詳細を実際のデータを用いてご説明します。

猪原 智昭

猪原 智昭

October 5, 2018 1:46 PM

ユーザー環境に合わせたパフォーマンス最適化の進化

Akamaiの能動的なパフォーマンス最適化、Adaptive Accelerationについて前回ご紹介をさせていただいていから1年半が経過しました。この間、Adaptive Accelerationは、少しずつ、進化を続け、新機能が適用されています。そして、ベータプログラムとして、一部のお客様環境で動き始めた新しい試みもあります。今回、本稿ではそれらの進化の差分について、簡単に触れてみたいと思います。

Haru Kaneko

Haru Kaneko

September 26, 2018 9:11 PM

ゼロ・トラスト・セキュリティ 教育業界脅威レポート

今回のブログは、教育業界におけるITの爆発的普及と、それに伴いIT管理者が考慮するべき対策のお話しです。大学や高校におけるIT活用の増加とセキュリティ対策について、事例を交えてお話ししたいと思います。

Takaaki Kumazawa

Takaaki Kumazawa

September 7, 2018 3:00 PM

Luna セキュリティレポートの確認方法

みなさん、こんにちは。アカマイ・テクノロジーズ西日本支店の熊澤です。 今日は、Lunaのセキュリティレポートの見方のおさらいをしたいと思います。 前回、Lunaのサイト配信系レポートの見方を解説しましたが、今回はセキュリティセンターの解説をします。 Akamaiのセキュリティプロダクトを使っていただいているお客様でとても問い合わせが多い内容となっております。

Kazuhiro Nakanishi

Kazuhiro Nakanishi

September 5, 2018 5:00 PM

2018 年夏季 SOTI/Security Report -Web Attackの動向

※ このBlog 記事は2018.6.21に執筆された Akamai SIRT Alerts のBlog 記事を翻訳した内容を元に作成しています。 Webアプリケーション攻撃でも変化は続く 2018年夏「インターネットの現状/セキュリティレポート(SOTI/Security Report )」関するブログの第2弾をご覧いただき有難うございます。前回のDDoSの動向に引き続き、今回は2017年11月から2018年4月までの半年間におけるWebアプリケーション攻撃の動向について解説します。

Kazuhiro Nakanishi

Kazuhiro Nakanishi

September 3, 2018 5:00 PM

2018 年夏季 SOTI/Security Report -数値で見るDDoSの動向

※ このBlog 記事は2018.6.19に公開されたMartin McKeayのBlog記事を翻訳した内容を元に作成しています。 変化のとき 「インターネットの現状/セキュリティレポート (SOTI/Secyurity Report)」は、3年以上にわたり、AkamaiのDDoS、攻撃トラフィック、インターネット脅威に関する調査の根幹となっています。時の経過とともにレポートも進化し、その対象範囲も大幅に拡大した半面、内容の提示のしかたはあまり変わっていませんでした。しかし、今回の 2018 年夏季 SOTI/Security Report Web Attaks から、コンテンツの提示形態が大きく変わったことにお気づきかと思います。

Kazuhiro Nakanishi

Kazuhiro Nakanishi

August 29, 2018 11:13 AM

イープラスがチケット買い占めボットを撃退!導入事例と読み解きポイント

会員数1100万人を超える業界最大級のチケット販売サイト「e+(イープラス)」を運営するイープラスは、以前からチケット転売目的の買い占めと疑われるボット(自動実行プログラム)の高頻度のアクセスに悩まれ、これまでも様々な対策に取り組まれてきましたが、CAPTCHA(難読文字によるボット判定)を突破するなど高度になったボットを上回る、最新の対策を求めていました。 そこで「ふるまい検知」と「機械学習」を駆使する、Akamai Bot Manager Premier (以下BMP)を導入し、直後の先着チケット販売開始後、30分間の分析を試みたところ、全アクセスの9割超がボットによるアクセスと判明。これをブロックすることで、悪質なボットによるアクセスをブロックし、転売目的のチケット買占め問題が改善しました。 イープラスはどのような経緯でBot Manager Premier を導入し、どのような効果を得たのか?また、導入後どのような点を高く評価したのか? 詳しくご覧頂ける、事例をPDFとビデオでご用意しました。いますぐダウンロードしてご確認ください。 また、本ブログではこの事例を読み解くいくつかのポイントについて解説します。

Kazuhiro Nakanishi

Kazuhiro Nakanishi

August 27, 2018 4:23 PM

Apache Struts2 の脆弱性(CVE-2018-11776)について

※ この文書は、CVE-2018-11776 に関するAkamai Blogの抄訳です。最新の情報については元ドキュメントをご参照ください。 8月22日水曜日、ApacheチームはApache Struts2フレームワークの新たな脆弱性を修正しました。 Apache Strutsは、Java Webアプリケーションを開発するためのオープンソースのWebアプリケーションフレームワークです。次の条件の両方を満たす場合にリモートで任意のコードが実行される脆弱性(CVE-2018-11776)が存在します。 Strutsの設定で alwaysSelectFullNamespaceをtrueに設定している場合 Struts設定ファイルにオプションのnamespace属性を指定しないか、ワイルドカードネームスペースを指定する"action"タグ、(または"url"タグ)が含まれている場合 影響を受けるバージョンは、 Apache Strutsフレームワークの Struts 2.3~Struts 2.3.34、および Struts 2.5~Struts 2.5.16です。影響を受けるバージョンを現在実行している場合、悪意のあるユーザーが、HTTP要求を介してカスタムネームスペースパラメータを注入することにより、システム上でコードをリモート実行できます。