Akamai Diversity

Akamai Japan ブログ

Kazuhiro Nakanishi

Kazuhiro Nakanishi

September 3, 2018 5:00 PM

2018 年夏季 SOTI/Security Report -数値で見るDDoSの動向

※ このBlog 記事は2018.6.19に公開されたMartin McKeayのBlog記事を翻訳した内容を元に作成しています。 変化のとき 「インターネットの現状/セキュリティレポート (SOTI/Secyurity Report)」は、3年以上にわたり、AkamaiのDDoS、攻撃トラフィック、インターネット脅威に関する調査の根幹となっています。時の経過とともにレポートも進化し、その対象範囲も大幅に拡大した半面、内容の提示のしかたはあまり変わっていませんでした。しかし、今回の 2018 年夏季 SOTI/Security Report Web Attaks から、コンテンツの提示形態が大きく変わったことにお気づきかと思います。

Kazuhiro Nakanishi

Kazuhiro Nakanishi

August 29, 2018 11:13 AM

イープラスがチケット買い占めボットを撃退!導入事例と読み解きポイント

会員数1100万人を超える業界最大級のチケット販売サイト「e+(イープラス)」を運営するイープラスは、以前からチケット転売目的の買い占めと疑われるボット(自動実行プログラム)の高頻度のアクセスに悩まれ、これまでも様々な対策に取り組まれてきましたが、CAPTCHA(難読文字によるボット判定)を突破するなど高度になったボットを上回る、最新の対策を求めていました。 そこで「ふるまい検知」と「機械学習」を駆使する、Akamai Bot Manager Premier (以下BMP)を導入し、直後の先着チケット販売開始後、30分間の分析を試みたところ、全アクセスの9割超がボットによるアクセスと判明。これをブロックすることで、悪質なボットによるアクセスをブロックし、転売目的のチケット買占め問題が改善しました。 イープラスはどのような経緯でBot Manager Premier を導入し、どのような効果を得たのか?また、導入後どのような点を高く評価したのか? 詳しくご覧頂ける、事例をPDFとビデオでご用意しました。いますぐダウンロードしてご確認ください。 また、本ブログではこの事例を読み解くいくつかのポイントについて解説します。

Kazuhiro Nakanishi

Kazuhiro Nakanishi

August 27, 2018 4:23 PM

Apache Struts2 の脆弱性(CVE-2018-11776)について

※ この文書は、CVE-2018-11776 に関するAkamai Blogの抄訳です。最新の情報については元ドキュメントをご参照ください。 8月22日水曜日、ApacheチームはApache Struts2フレームワークの新たな脆弱性を修正しました。 Apache Strutsは、Java Webアプリケーションを開発するためのオープンソースのWebアプリケーションフレームワークです。次の条件の両方を満たす場合にリモートで任意のコードが実行される脆弱性(CVE-2018-11776)が存在します。 Strutsの設定で alwaysSelectFullNamespaceをtrueに設定している場合 Struts設定ファイルにオプションのnamespace属性を指定しないか、ワイルドカードネームスペースを指定する"action"タグ、(または"url"タグ)が含まれている場合 影響を受けるバージョンは、 Apache Strutsフレームワークの Struts 2.3~Struts 2.3.34、および Struts 2.5~Struts 2.5.16です。影響を受けるバージョンを現在実行している場合、悪意のあるユーザーが、HTTP要求を介してカスタムネームスペースパラメータを注入することにより、システム上でコードをリモート実行できます。

佐々木 貴志

佐々木 貴志

August 23, 2018 8:55 AM

Akamai による API セキュリティの最大化

昨今注目が集まっているAPI(Application Programming Interface)、そのアクセス方式自体は以前から利用されているテクノロジーですが、近年の IoT、デジタライゼーション、デジタルトランスフォーメーションという市場の波を受けて、Open API という新たな取り組みが急速に発展・利用されるようになり、企業のビジネス・IT双方の担当者の中でも非常に重要なトピックとなっております。 Open API は企業に対して新しい革新的なビジネスモデルを創造する力を提供しますが、同時にインターネット上にAPIを広く公開することに伴い、脅威に対して新たな脆弱性のポイントを提供し、攻撃を増加させる可能性があります。APIに対しての適切な保護を怠ると「正当なユーザーによる意図しない誤用」、「ダウンタイムや悪意のある攻撃にさらされる可能性」が生じると言えます。よって、これらの悪意のある攻撃や悪用シナリオに対する備えが、APIセキュリティアーキテクチャの一部として備わっている必要があります。 Akamai では Open API を適切に保護する目的として、大きく2つの強力なソリューションを提供しております。 Akamai API Gateway: 正当なAPIコンシューマの検証とAPIへのガバナンスの追加 Akamai Kona Site Defender(API Protection 等) / Bot Manager: 悪意のあるトラフィックから APIエンドポイントを保護 これらのソリューションは連携して API 用の包括的なセキュリティーアーキテクチャ構築に役立てることが可能です。以降、5つのユースケースを通して各ソリューションによるAPI保護方法を説明させていただきます。

Junya Hasegawa

Junya Hasegawa

August 10, 2018 5:44 PM

Akamai API Gatewayを使用したアプリケーションキャッシング結果を改善する方法

※ この記事は2018.5.31に執筆されたDeveloper Blogの記事を翻訳した内容を元に作成しています。 前回の記事ではキャッシングを使用してAPIのパフォーマンスを向上させる方法について説明しました。 今回はアカマイがCDN配信、ルーティング、およびレスポンスキャッシュ機能を使用してアプリケーションキャッシングの結果を向上させる方法を見てみましょう。最初に説明するテストでは、テストAPIを使用してアカマイでのキャッシュの有無にかかわらずスループット率を比較します。次にアカマイでのキャッシュ実装による効果を説明します。最後にAkamai API Gatewayを使用して環境を構成するための手順について説明します。

Junya Hasegawa

Junya Hasegawa

August 9, 2018 4:21 PM

キャッシングによるAPIパフォーマンスの向上

アカマイはAPI Gatewayという新製品を発売しましたが、この記事ではAPIをキャッシュする意義についてお伝えしたいと思います。 ※ この記事は2018.5.31に執筆されたDeveloper Blogの記事を翻訳した内容を元に作成しています。 多くの開発者がAPIキャッシングについてどのように動作するのか、それがもたらす利点をより深く理解したいと考えています。APIのキャッシングの採用は、各APIのキャッシングルールを定義し管理するツールがないために制限されていました。(従来は、レスポンスをキャッシュする要件がAPIごとに異なるため、複数のAPIにキャッシングルールを設定することは現実的ではありませんでした) このブログ記事はさまざまな実装シナリオのレビューを通じて、APIレスポンスのキャッシュの利点を理解するのに役立ちます。

Naoya Abe

Naoya Abe

July 4, 2018 2:00 PM

VPNは過去のものか?

※ この記事は2018.5.21に執筆されたThe Akamai Blogの記事を翻訳した内容を元に作成しています。 2018年に世界のインターネット利用者は40億人を超え、その増加ペースは今も留まるところを知りません。1990年代から続くインターネットの歩みの中で、様々な形態のVirtual Private Network (以降VPN)が生まれてきました。そしてVPNは"セキュアである"という前提のもと、今では当たり前のように利用され、企業の生産性の向上にも貢献してきました。しかしここ数年に起きたサイバー犯罪によって、既にその前提が崩れ始めていることをご存知でしょうか。

Haru Kaneko

Haru Kaneko

June 21, 2018 5:04 PM

1.7兆のDNSリクエストがセキュリティ向上につながる理由

※ このBlog 記事は2018.5.17に執筆されたThe Akamai Blogの 記事を翻訳した内容を元に作成しています。 フィッシングサイトへのアクセス、マルウェアのダウンロード、そして標的型攻撃の脅威は日々高まっており、被害のニュースは枚挙にいとまがありません。 この様な脅威を防ぐ方法として、DNSリクエストを精査して怪しいドメインへの接続を遮断する事が有効です。 アカマイでは、1日に1.7兆を超える圧倒的な量のDNSリクエストを処理しており、これを専門のセキュリティ・インテリジェンスチームが分析する事で高い精度を誇る脅威対策を実現しています。

Makoto Masuyama

Makoto Masuyama

June 6, 2018 10:00 AM

ボットの不正ログインを検知・遮断 - Bot Manager Premier

はじめに 2017年10月11日にアカマイはBot Manager Premier という製品を発表しました。 この製品には、既存の製品であるBot Manager StandardによるWebサイト全体に対する多種多様なボット管理ソリューションに加え、ログインページへのボットによる不正アクセス検知・遮断に特化したソリューションが追加されております。 このブログではログインページ、ひいてはパスワード管理が抱えるセキュリティ課題と、どのようにBot Manager Premierが人かボットかを識別し、お客様のWebサイトをよりセキュアにすることを実現するのかを解説したいと思います。