Akamai Diversity

Akamai Japan ブログ

佐々木 貴志

佐々木 貴志

August 23, 2018 8:55 AM

Akamai による API セキュリティの最大化

昨今注目が集まっているAPI(Application Programming Interface)、そのアクセス方式自体は以前から利用されているテクノロジーですが、近年の IoT、デジタライゼーション、デジタルトランスフォーメーションという市場の波を受けて、Open API という新たな取り組みが急速に発展・利用されるようになり、企業のビジネス・IT双方の担当者の中でも非常に重要なトピックとなっております。 Open API は企業に対して新しい革新的なビジネスモデルを創造する力を提供しますが、同時にインターネット上にAPIを広く公開することに伴い、脅威に対して新たな脆弱性のポイントを提供し、攻撃を増加させる可能性があります。APIに対しての適切な保護を怠ると「正当なユーザーによる意図しない誤用」、「ダウンタイムや悪意のある攻撃にさらされる可能性」が生じると言えます。よって、これらの悪意のある攻撃や悪用シナリオに対する備えが、APIセキュリティアーキテクチャの一部として備わっている必要があります。 Akamai では Open API を適切に保護する目的として、大きく2つの強力なソリューションを提供しております。 Akamai API Gateway: 正当なAPIコンシューマの検証とAPIへのガバナンスの追加 Akamai Kona Site Defender(API Protection 等) / Bot Manager: 悪意のあるトラフィックから APIエンドポイントを保護 これらのソリューションは連携して API 用の包括的なセキュリティーアーキテクチャ構築に役立てることが可能です。以降、5つのユースケースを通して各ソリューションによるAPI保護方法を説明させていただきます。

Junya Hasegawa

Junya Hasegawa

August 10, 2018 5:44 PM

Akamai API Gatewayを使用したアプリケーションキャッシング結果を改善する方法

※ この記事は2018.5.31に執筆されたDeveloper Blogの記事を翻訳した内容を元に作成しています。 前回の記事ではキャッシングを使用してAPIのパフォーマンスを向上させる方法について説明しました。 今回はアカマイがCDN配信、ルーティング、およびレスポンスキャッシュ機能を使用してアプリケーションキャッシングの結果を向上させる方法を見てみましょう。最初に説明するテストでは、テストAPIを使用してアカマイでのキャッシュの有無にかかわらずスループット率を比較します。次にアカマイでのキャッシュ実装による効果を説明します。最後にAkamai API Gatewayを使用して環境を構成するための手順について説明します。

Junya Hasegawa

Junya Hasegawa

August 9, 2018 4:21 PM

キャッシングによるAPIパフォーマンスの向上

アカマイはAPI Gatewayという新製品を発売しましたが、この記事ではAPIをキャッシュする意義についてお伝えしたいと思います。 ※ この記事は2018.5.31に執筆されたDeveloper Blogの記事を翻訳した内容を元に作成しています。 多くの開発者がAPIキャッシングについてどのように動作するのか、それがもたらす利点をより深く理解したいと考えています。APIのキャッシングの採用は、各APIのキャッシングルールを定義し管理するツールがないために制限されていました。(従来は、レスポンスをキャッシュする要件がAPIごとに異なるため、複数のAPIにキャッシングルールを設定することは現実的ではありませんでした) このブログ記事はさまざまな実装シナリオのレビューを通じて、APIレスポンスのキャッシュの利点を理解するのに役立ちます。

Naoya Abe

Naoya Abe

July 4, 2018 2:00 PM

VPNは過去のものか?

※ この記事は2018.5.21に執筆されたThe Akamai Blogの記事を翻訳した内容を元に作成しています。 2018年に世界のインターネット利用者は40億人を超え、その増加ペースは今も留まるところを知りません。1990年代から続くインターネットの歩みの中で、様々な形態のVirtual Private Network (以降VPN)が生まれてきました。そしてVPNは"セキュアである"という前提のもと、今では当たり前のように利用され、企業の生産性の向上にも貢献してきました。しかしここ数年に起きたサイバー犯罪によって、既にその前提が崩れ始めていることをご存知でしょうか。

Haru Kaneko

Haru Kaneko

June 21, 2018 5:04 PM

1.7兆のDNSリクエストがセキュリティ向上につながる理由

※ このBlog 記事は2018.5.17に執筆されたThe Akamai Blogの 記事を翻訳した内容を元に作成しています。 フィッシングサイトへのアクセス、マルウェアのダウンロード、そして標的型攻撃の脅威は日々高まっており、被害のニュースは枚挙にいとまがありません。 この様な脅威を防ぐ方法として、DNSリクエストを精査して怪しいドメインへの接続を遮断する事が有効です。 アカマイでは、1日に1.7兆を超える圧倒的な量のDNSリクエストを処理しており、これを専門のセキュリティ・インテリジェンスチームが分析する事で高い精度を誇る脅威対策を実現しています。

Makoto Masuyama

Makoto Masuyama

June 6, 2018 10:00 AM

ボットの不正ログインを検知・遮断 - Bot Manager Premier

はじめに 2017年10月11日にアカマイはBot Manager Premier という製品を発表しました。 この製品には、既存の製品であるBot Manager StandardによるWebサイト全体に対する多種多様なボット管理ソリューションに加え、ログインページへのボットによる不正アクセス検知・遮断に特化したソリューションが追加されております。 このブログではログインページ、ひいてはパスワード管理が抱えるセキュリティ課題と、どのようにBot Manager Premierが人かボットかを識別し、お客様のWebサイトをよりセキュアにすることを実現するのかを解説したいと思います。

Tatsuya Suzuki

Tatsuya Suzuki

May 31, 2018 3:35 PM

日本でネットライブの広告ビジネスは成功できるのか?海外の成功事例に学ぶライブ広告配信の未来

オンデマンドで定額課金制のサービスが主流の動画配信業界において、国内ではサイバーエージェントが、無料のインターネットテレビ、AbemaTVを立ち上げました。日本では、唯一とも言われるリニア動画で無料サービスという位置づけとなり、海外の名だたるOTTサービスと比較しても先進的な取り組みをしていると思います。 このインターネットライブ配信 x 広告というビジネスモデルはとても注目されており、国内でこういったビジネスが立ち上がってくることは、とてもワクワクしますね。 一方で、サイバーエージェントの藤田社長が決算発表でおっしゃっていた通り、このネット動画配信と広告モデルを確立させるというのにはそれなりにチャレンジがあるのだろうとも思います。 国内では前例がないチャレンジだけに、 無料ネット動画配信x広告配信で成功している会社は世界にあるのか? 日本でもネット無料テレビのビジネスモデルは立ち上がるのか? という点について、おそらく多くの人々が疑問や意見を持ち、そして答えを探しているのではないでしょうか。 では皆さん、世界中でネットの無料ライブ配信+広告モデルで成功している例はあると思いますか?

Masahiko Suzuki

Masahiko Suzuki

May 30, 2018 6:58 PM

Akamai API Gateway のご紹介

はじめに Akamai Intelligent Platformは全世界中の15-30%のインターネットトラフィックを配信する中で、非常に多くのAPIを利用したトラフィックを観測しています。2018年現在、1日あたりのヒット数は445 Billion、データ量にして2.4 PetabyteものAPIトラフィックが配信されており、前年と比較した増加率(YoY)はそれぞれ+35%、+45%におよびます。 これまでAkamaiはAPIトラフィックに対し、高速化機能(SureRoute、GZIPデータ圧縮、HTTP2等)や、CacheによるAPIオリジンのオフロード、API Protectionによるセキュリティ機能を提供してきました。 2018年にリリースされたAkamai API Gateway(以降、AAG)の拡充により、従来機能に加えて、API認証/認可機能、リクエスト数制限、高度なCache機能を提供することが可能になり、世界最大規模且つ高信頼なAkamai Intelligent Platform上で包括的なAPIトラフィックのマネジメントの実現が可能になりました。 本ブログではAAGにフォーカスを当てたいと思います。

Masaharu Imai

Masaharu Imai

May 29, 2018 6:51 PM

Webサービス提供側と利用側のセキュリティ

インターネットの発達およびそれに関わる技術の進歩により、インターネットを活用したサービスが増え、便利な一方でセキュリティインシデントも後を絶ちません。ニュースなどで一般に公開されているセキュリティインシデントは「氷山の一角だ」なんて事もよく耳にされるかと思います。 今回はWebセキュリティに関して、攻撃をする側の視点を交えてサービスを提供する側と利用する側のセキュリティについて考えてみたいと思います。まずはWebにおける攻撃対象となり得る領域(Attack Surface)と攻撃をする側はどんなことをしているのか簡単に触れていきます。 Webにおける攻撃対象となり得る領域(Attack Surface) 単純にWebに対する攻撃と言っても、様々な種類の手法がありそれぞれの手法で悪用する箇所は異なります。Webサービスでは大きく以下の4つが攻撃対象となり得る領域になります。1) Webサーバー2) アプリケーションロジック3) データベース4) ブラウザ (クライアント) 図1. WebApplication実行の流れと攻撃対象となり得る領域 攻撃をする際のフェーズ 攻撃側にとっては情報収集をして実際に攻撃をするという中で、大きく以下のフェーズを実行します。1) Reconnaissance(偵察) - ターゲットについての情報収集をするための探査を行う準備フェーズ2) Mapping - サーバー、サービスの検出および識別をするためのフェーズ3) Discovery - 具体的な脆弱性を特定するためのScanningフェーズ4) Exploitation - 1) - 3) のフェーズで収集した情報を基に実際に攻撃をするフェーズ このようにターゲットのパブリックな情報から具体的に稼働しているソフトウェア、アプリケーションの構成などから脆弱性を特定し、最終的に攻撃が実行される傾向にあります。