Radware Research:API乱用の脅威が拡大、企業を狙うボットトラフィックへの警告 


米国ニュージャージー州マーワー発 抄訳 2021年1月20日 06:00 AM

2020年のクラウドマイグレーション加速からアプリケーションを狙うサイバー攻撃へ

サイバーセキュリティおよびアプリケーション・デリバリー・ソリューションのリーディングプロバイダーであるラドウェア、Radware®(NASDAQ: RDWR)は、「2020-2021年のWebアプリケーションセキュリティの現状報告書」を発表しました。

今回の調査により、世界中で組織における複数のプラットフォーム上の一貫したアプリケーションセキュリティを維持することの難しさが浮き彫りになりました。また、新しいアーキテクチャの出現やアプリケーションプログラムインターフェース(API)の採用により、ビジビリティ(可視性)を失っていることが明らかになりました。
これらの課題の主な要因は、COVID-19のパンデミックに伴い必要となったリモートワークや顧客エンゲージメントモデルへの迅速な適応です。意思決定者が適切なセキュリティ計画を実施するための時間が無かったことに由来しています。

オスターマンリサーチのマイケル・オスターマン氏は次のように述べています。
「2020年の急速なクラウド移行に伴い、モバイルやクラウドベースのアプリやAPIに危険なレベルのセキュリティが驚くほど組織全体に蔓延しています」

ラドウェアのチーフ・オペレーティング・オフィサー、ガビ・マルカは次のように述べています。
「回答者の70%以上が、本番アプリがすでにデータセンターを離れていると報告しています。特にマルチクラウド環境では、これらのデータやアプリケーションのセキュリティと完全性を確保することがより困難になっています。
このクラウドマイグレーションは、APIへの依存度の高まりや、安全性の低いモバイルアプリの追加と相まって、サイバーセキュリティの脆弱さにつけ込む犯罪者のターゲットとなります。
すでにパブリッククラウドに移行し、APIにさらされているアプリをいくつか持っている現状を把握している回答者は、リスクを理解しているようです。しかし、それ以外の回答者は、無関心で危険に気づいていないだけだと言えます」

本報告書の概要は以下の通りです。

これからの大きな脅威、API

APIを介したウェブアプリケーションへの依存度が高まっています。ユーザーの認証情報、支払い情報、社会保障番号など、さまざまな種類の機密データがAPIによって処理されます。APIの悪用は、最も頻繁に発生する攻撃のベクトルになると予想されます。そのため、APIセキュリティは、2021年に企業が対策を講じるべき最も重要な課題となっています。

調査対象となった組織のおよそ40%が、「自社のアプリケーションの半分以上がAPIを介してインターネットやサードパーティのサービスにさらされている」と報告しています。55%がAPIに対するDoS攻撃を少なくとも月に一度は経験しています。49%がインジェクション攻撃を少なくとも月に一度は経験しています。42%がエレメントやアトリビュートの悪意ある操作を少なくとも月に一度は経験しています。

企業はボットトラフィックへの備えができていない

企業がボットトラフィックを適切に管理する準備ができていない状態も、大きな課題となっています。ウェブアプリケーションファイアウォール(WAF)がAPIなどに対する攻撃を検出して防ぐための防御を担う一方で、ボット管理ツールが高度なボット攻撃に対する防御を行います。セキュリティチームはこの2つを通して、さまざまな脅威や攻撃への対処法を的確に把握することができます。

本報告書では、本物のユーザーとボットを区別するための専用ソリューションを導入している組織はわずか24%にすぎないことが明らかになりました。さらに、調査対象者のうち、洗練された悪質なボットが何をしているのかを理解していると自信を持っているのは、わずか39%にとどまりました。

揺らぐモバイルアプリの安全性

2020年は、情報に携わる労働者のほとんどが在宅勤務に切り替えました。またほとんどの人が娯楽、連絡、教育、購買にモバイルアプリを利用するようになりました。こうした変化に伴い、モバイルアプリがいっそう重要な役割を果たすようになりました。しかし、モバイルアプリがサードパーティによって開発されることが多くなっていることとも関連し、モバイルアプリの開発はまったく安全ではないのが現状です。

今回の調査によると、セキュリティが完全に統合されているモバイルアプリは36%しかなく、大多数のアプリではセキュリティが最小限か全くない(22%)という結果が出ています。モバイルアプリのセキュリティ対策が講じられるまでは、モバイルチャネルを攻撃するインシデントがさらに発生し、より深刻になることが予想されます。企業は、モバイルアプリのセキュリティを確保し、消費者のデータをハッカーに晒さないようにすることが求められるようになるでしょう。

セキュリティ担当者が意思決定者でないゆがみ

本報告書が指摘する脅威にもかかわらず、アプリケーション開発の実践の現場では、セキュリティは最優先事項ではありません。調査対象の約90%において、セキュリティスタッフは、アプリケーション開発のアーキテクチャや予算に影響を与える主な存在ではありません。約43%が、セキュリティはリリースサイクルのエンドツーエンドの自動化を妨げるべきではないと答えています。これは、企業のセキュリティ責任者が、アプリの開発方法をほぼコントロールできない状況を示しています。

なくならないDDoS攻撃

最も一般的なボット攻撃は、様々な形のサービス拒否攻撃(DDoS)です。86%が同様の攻撃を経験したことがあると答え、3分の1は毎週のように発生、5%は毎日のように発生していると報告しています。アプリケーション層でのサービス妨害は、HTTP/Sフラッドの形で頻繁に発生します。60%が、1ヶ月に1回以上の頻度でHTTPフラッドを経験しています。本報告書全文(英語)は、https://www.radware.com/resources/complete-protection/をご覧ください。

調査方法

ラドウェアがオスターマンリサーチ社に委託し、従業員数1,000人以上の組織の意思決定者や影響力保持者205人を対象に調査を実施しました。調査対象となった組織の従業員数の中央値は2,200人です。調査対象者の主な職務は、ネットワークセキュリティ、DevOps/DevSecOps、ネットワーク運用および関連業務、アプリケーション開発、アプリケーションセキュリティ、その他様々なITおよび関連業務でした。調査対象者の大多数は、幹部職を含む上級管理職または管理職です。

ラドウェアについて

ラドウェア® (NASDAQ:RDWR) は、物理、クラウド、およびソフトウェアで定義されたデータセンター向けのサイバーセキュリティおよびアプリケーション・デリバリー・ソリューションのグローバルリーダーです。受賞歴のある同社のソリューションポートフォリオは、インフラストラクチャ、アプリケーション、ビジネスのIT保護ならびに可用性のサービスを提供し、デジタル体験を守ります。ラドウェアのソリューションは、世界中の企業や通信事業者の速やかな市場課題への対応、事業継続性の維持、コスト削減、生産性の最大化に貢献しています。詳細については、日本ラドウェア株式会社https://jp.radware.com/ならびにwww.radware.comをご覧ください。セキュリティセンターのDDoSWarriors.comでは、DDoS攻撃ツール、トレンド、脅威に関する包括的な分析を提供しています。

ラドウェアのコミュニティにぜひご参加ください:FacebookLinkedInラドウェア ブログTwitterYouTubeiOSおよびAndroid向けRadware Mobile。

©2021 Radware Ltd. All rights reserved. Any Radware products and solutions mentioned in this press release are protected by trademarks, patents and pending patent applications of Radware in the U.S. and other countries. For more details please see: www.radware.com/LegalNotice/. All other trademarks and names are property of their respective owners.

セーフハーバー条項

本プレスリリースには、1995年私募証券訴訟改革法において定義されている「将来の見通しに関する記述」が含まれています。ラドウェアの計画、展望、信念、または意見に関する記述を含め、ここに記載されており歴史的事実に関する記述に該当しないものは、将来の見通しに関する記述です。一般的に将来の見通しに関する記述は、「信じる」、「予期する」、「見込む」、「意図する」、「推定する」、「計画する」、またはその他の類似表現や、「~する(意思)」、「~のはずだ」、「多分~だろう」、「~かもしれない」、「~の可能性もあり得る」といった未来または条件を表す言葉により識別されます。たとえば、「攻撃のためにモバイルチャネルを利用したインシデントがさらに発生し、より深刻になることが予想されます。企業は、モバイルアプリのセキュリティを確保し、消費者のデータをハッカーに晒さないようにすることが求められるようになるでしょう」と言った場合、これは将来の見通しに関する記述ということになります。そのような記述は将来的な事象について述べているため、様々なリスクや不確定要素に左右される可能性があり、将来の見通しに関する記述内において明示的または暗示的に示された実際の結果は、ラドウェアの現時点での予想または推定とは大幅に異なることがあります。かかる要因には、世界の経済情勢および市場の変動性による当社製品への影響、自然災害および新型コロナウイルス2019(COVID-19)のパンデミックなど公衆衛生上の危機、効率的に事業を拡大する当社の能力、当社の新規および既存のソリューションが適時に利用できる状態にあり、かつ顧客に受け入れられること、サイバーセキュリティおよびアプリケーションデリバリー ソリューション市場ならびに当社の業界全般における激しい競争および競争環境の変化、ホスティングサービスまたは当社の社内ネットワークシステムにおける機能停止、中断、または遅延、当社製品を販売する独立代理店への当社の依存の度合い、当社製品における未検出の欠陥またはエラー、あるいは悪意ある攻撃を防御する当社製品の不具合、コンポーネントの入手状況および生産能力、ベンダーがラドウェアの主要アクセサリに必要なハードウェアプラットフォームおよびコンポーネントを供給する能力、有能な人材を惹きつけ、養成し、維持する当社の能力、当社にとってほとんどまたは全く制御不可能なその他の要因およびリスクが含まれますが、これらに限定されません。上述の項目は、実際の結果に違いを生じさせる可能性のある特定の主要因のみを確認することを意図しています。ラドウェアに影響を及ぼすリスクおよび不確実要素に関する詳細は、ラドウェアが米国証券取引委員会(SEC)に提出したラドウェア年次報告書(Form 20-F)をご覧ください。また、ラドウェアにより適宜議論されたその他のリスク要因に関しても、SECに提出、または提示した報告書に記載があります。将来の見通しに関する記述はあくまでその記述がなされた時点のものであり、適用法令により義務付けられている場合を除き、ラドウェアは当該時点以降に発生した出来事や状況を反映させるため、将来の見通しに関する記述を修正または更新する一切の責任を負いません。ラドウェアに関する公的書類はSECのWebサイトwww.sec.gov、あるいはラドウェアのWebサイトwww.radware.comから入手することができます。

ラドウェアをご利用のお客様

サポートや追加のサービスが必要なとき、製品やソリューションに関するご質問など、ラドウェアはいつでもお客様をサポートいたします。

ラドウェアの各拠点
ナレッジベースから回答を得る
無料オンライン製品トレーニングを利用する
ラドウェア テクニカルサポートを利用する

ソーシャルメディア

エキスパートとつながり、ラドウェアのテクノロジーについて語り合いましょう。

ラドウェア ブログ
セキュリティリサーチセンター