Webアプリケーションに対するAI時代の脅威は拡大しています。自動化された攻撃者はマシンスピードで動作し、偵察とエクスプロイトを連鎖させ、機密データを保有するアプリケーションの部分を狙います。このトラフィックのほとんどは有能なWAAPによって止められます — OWASPカバレッジ、ボットスコアリング、DDoS吸収 — そしてTR7 WAAPはその役割を果たします。しかし攻撃の一部は、盗まれたクレデンシャル、ソーシャルエンジニアリング、サプライチェーンJavaScript、または精巧なロジック悪用を通じてアプリケーションに到達します。一度攻撃者がページ上にいると、データはそこにあります。
市場はこれに2つの異なる方法で対応しています。従来のDLP製品(Forcepoint / Microsoft Purviewカテゴリ)はファイル、USBポート、印刷キューを監視するエンドポイントエージェントをインストールします — デスクトップナレッジワークには有用なツールですが、Webアプリケーションを通じてデータが外に出るのを止める場所としては適切ではありません。クラウドのみのRBI製品はブラウザセッションを他者のエッジで分離します — 有用ですが、機密トラフィックを自社ネットワークから引き出します。
TR7は第3の道を取ります。データ漏洩防止はすでにサービスを保護している同じWAAPの内部で動作します — お客様のハードウェア上で、同じvServiceに接続されて。機密サービスは追加の層を取得します。エンドポイントセキュリティからのデバイストラストシグナルがセッションが開く前にアクセスをゲーティングし、ZeroLeak分離はアプリケーションをサーバーサイドでレンダリングするためユーザーのデバイスにはDOM、ソースコード、未加工のAPIレスポンスがなく、anti-OCRレンダリングはAI時代のスクリーンショット持ち出しに抵抗し、フォレンジック透かしは提供されたすべてのページに織り込まれるため、漏洩が発生した場合はセッションとユーザーに遡ることができます。
これらの層はすべてのアプリケーションで常時稼働しているわけではありません。データが最も機密性の高い場所で起動します。TR7 WAAPが基盤として残り、これらの層がサービスが必要とする場合にWAAPを次世代へと高めます。
TR7 WAAPはすでにすべてのサービスでOWASP、APIセキュリティ、ボット管理、DDoS、コンテンツ認識トラフィックルールを処理しています。データ漏洩防止はその上に層を追加します — 実際に機密データを扱うサービス向けに、すべての静的ページ向けではありません。
機密サービスに対して、TR7のエンドポイントセキュリティ層は要求しているデバイスが既知で現在ヘルシーであるかどうかをシグナルします — 管理ステータス、コンプライアンス状態、ポスチャ。アクセス判定はアプリケーションが未検証エンドポイントから単一のリクエストを受け取る前にそのシグナルを組み込みます。
ZeroLeak分離ゲートウェイは機密アプリケーションをサーバーサイドでレンダリングし、レンダリングされた出力のみをブラウザに届けます。ユーザーは完全に機能するアプリケーションを見ます。攻撃者 — またはクライアント上の侵害されたブラウザプロセス — はスクレイプするDOMも、読み取るJavaScriptソースも、キャプチャする未加工のAPIレスポンスもありません。クライアント側の攻撃面が崩壊します。
分離だけでなく、機密データは他のパスも通ります。TR7はAPIレスポンス内のPII、決済データ、クレデンシャルをクライアントに届く前に編集し、ブラウザ自体から持ち出すサプライチェーンスキマーを捕捉するためにページ上のサードパーティJavaScriptを監視します。従来のDLPが見逃すベクターがWAAP層でカバーされます。
提供されたすべてのページには、レンダリングを特定のセッション、ユーザー、タイムスタンプに紐付けるフォレンジック透かしが含まれます。機密コンテンツがアプリケーション外に出た場合 — 漏洩したスクリーンショット、コピーされたフレーム、印刷されたページ — 調査によって漏洩が始まった場所を追跡できます。説明責任が推測に取って代わります。AI時代のスクリーンキャプチャ脅威については特に、AI-Era Protectionページをご覧ください。
以下のすべての機能はWAAPとADCと同じプラットフォーム上にあります。サービスが必要とする場所で層が起動します。
vServiceを機密として設定すると、追加の層 — エンドポイントゲーティング、ZeroLeak分離、anti-OCR、透かし — がそのサービスに対して起動します。公開された非機密サービスは標準WAAPプロファイルを維持します。
TR7のエンドポイントセキュリティ層からのデバイストラストシグナル(既知のデバイス、現在のポスチャ、コンプライアンス状態)がアプリケーションがリクエストを受け取る前にアクセス判定に組み込まれます。未知またはコンプライアンス外のエンドポイントはポリシーに従ってブロック、チャレンジ、または制限されたエクスペリエンスにルーティングされます。
機密アプリケーションはTR7プラットフォーム上でレンダリングされ、レンダリングされたビジュアル出力のみがブラウザに届きます。クライアントに届くDOMもソースコードも未加工のAPIレスポンスもありません。ユーザーが見るデータが、そのマシンが持つ唯一のデータです。
レンダリングされた出力は自動OCRとビジョン言語モデルのパイプラインに抵抗するよう形成されます。正規ユーザーは通常のコンテンツを見ますが、AI時代のスクリーンキャプチャツールは信頼性の低い結果しか得られません。完全なAI時代の脅威モデル — エージェント分類、スクレイパー検出、AI時代の透かしメカニクス — についてはAI-Era Protectionページをご覧ください。
透かしはセッション、ユーザーIDとタイムスタンプに紐付けてレンダリングされたコンテンツに織り込まれます — 可視またはステガノグラフィー。漏洩したスクリーンショットや印刷されたページは漏洩源を指し示します。
完全分離下で実行されていないサービスであっても、レスポンス層のマスキングがPII、決済データ、クレデンシャル、その他の機密パターンをポリシーに従ってクライアントに届く前に編集します。部分的な分離デプロイメントまたはAPIのみのサービスに有用です。
ページ上のサードパーティJavaScriptはブラウザレベルで監視されます。不正なスクリプト変更、疑わしいフォームデータ持ち出しパターン、サプライチェーンスキミング攻撃が顧客データが収集される前に表面化します。
分離された機密サービスのセッションは調査に適したレベルで記録されます。透かしと組み合わせることで、監査証跡は追加製品なしに規制審査をサポートします。
任意のトラフィック属性に対してレート制限、チャレンジ、またはブロック — ヘッダー値、クッキーコンテンツ、URLパラメーター、パースされたJSONボディ値。分離が起動する前でも、単一セッションがリクエストできるデータ量を制限するのに有用です。
上記のすべてが既存のvService設定に接続されます。一つのオペレーターコンソールがADC配信、WAAPシグナル、ZTAアクセス、これらのデータ漏洩層をカバーします。すべての監査証跡が一か所に。
レンダリング、分離、マスキング、透かしはすべてお客様のハードウェア上で実行されます。機密データの経路にサードパーティのエッジはありません。
機密サービスに対するボットフラッド、スクレイピング試み、その他の拒否されたリクエストは、プラットフォーム上の他の場所と同様に帯域幅メーターから除外されます。
TR7で機密とマークされたサービスへのリクエストはプラットフォームを通じてやや異なるパスを取ります — 持ち出し経路が開く前に閉じるパスです。
アプリケーションロジックが実行される前に、TR7のエンドポイントセキュリティ層が確認されます。デバイスは既知ですか?ポスチャは最新ですか?ポリシーに準拠していますか?未知またはコンプライアンス外のエンドポイントは機密サービスのセッションを取得できません。
アクセス管理層(SSO、MFA、OAuth/OIDC/SAML)を通じてIDが検証されます。継続的なトラスト評価はセッション中のコンテキスト変更を監視します — ログイン時に付与されたトラストは無条件には維持されません。
OWASPシグネチャ、ボットスコアリング、行動分析、コンテンツ認識ルール — 完全なWAAP層がプラットフォーム上の他の場所と同様に実行されます。ほとんどの攻撃はアプリケーション層に到達しません。
ZeroLeak分離が設定されたサービスでは、アプリケーションはTR7プラットフォーム上でレンダリングされます。ブラウザはレンダリングされたビジュアル出力を受け取り、アプリケーションのDOMやソースコードは受け取りません。クライアント側にはスクレイプするものが何もありません。
レンダリングされた出力はAI時代のOCRパイプラインに抵抗するよう形成されます。ユーザーは通常のコンテンツを見ますが、自動スクリーンキャプチャ抽出は信頼性の低い結果しか得られません。
すべてのレンダリングされたページに透かしが入ります — セッション、ユーザーID、タイムスタンプ — コンテンツに織り込まれます。漏洩が発生した場合、これが漏洩源を指し示す証跡となります。
データフローが完全には分離されていない場合、レスポンスの機密パターンがマスクされます。すべての判定がvServiceとWAAPポリシーの管理に使用されるのと同じコンソールにログに記録されます。
機密インフラ上で運用される特権的なWebコンソール。エンドポイントヘルスが必要で、アプリケーションはサーバーサイドでレンダリングされ、すべての管理アクションに透かしが入り監査されます。
マスクされていないレコードの公開が規制上のイベントとなる銀行バックオフィス、医療臨床ポータル、保険請求システム。分離とレスポンスマスキングが連携して機密データがクライアントデバイスに届かないようにします。
直接管理していないデバイス上のユーザーに範囲を限定したアクセスが必要です。エンドポイントシグナルとZeroLeak分離により、基盤となるデータをコピーする手段を与えることなく必要なアプリケーションを提供できます。
現代の自動化はスクリーンをキャプチャして大規模にOCRを実行します。anti-OCRレンダリングにより機密コンテンツに対するそのパイプラインが信頼できないものになります — 人間は見えますが、機械が抽出するのは困難です。
アプリケーション外に出た機密コンテンツは、フォレンジック透かしが役割を果たす瞬間です — 漏洩したアーティファクトはセッション、ユーザー、タイムスタンプを指し示します。
データレジデンシーがサードパーティのトラフィック傍受を禁止する市民データサービス。WAAPとZeroLeak分離のオンプレミスデプロイメントにより、すべてのバイトが市民データネットワーク内に留まります。
このソリューションが参照する機能 — 上記で説明した制御を構成する技術的要素。
サーバー上で生成されたページのピクセルが変更されます — ユーザーは画面で快適に読めますが、撮影されたスクリーンショットはOCRエンジンやAIビジョンモデルにとって無意味な出力になります。
保護対象アプリケーションをTR7プラットフォーム上の完全に分離されたセッションで実行 — ユーザーは画像だけを見ます。HTML、JavaScript、Cookieはユーザーのデバイスに決して届きません。
ページ上の文字は視覚的に類似した兄弟文字と静かに交換されます。カーソル周辺の領域はオリジナルを表示します。人間は自然に読めます — AIにスクリーンショットを与えると異なる単語を読み取ります。
ユーザー固有の可視ウォーターマークと、ピクセルの中に埋め込まれた不可視の痕跡識別子 — スクリーンショットが漏洩したとき、トリミング、スケーリング、撮影の後でも発生源を特定できます。
各ユーザーセッションは自身の分離ブラウザコンテキストで実行されます — 共有されるCookie、ストレージ、プロセス状態なし — 厳格なドメイン許可リストとレンダリングレベルの自動化対策防御とともに。
重要な瞬間のイベントトリガーのスクリーンショット、継続的なFFmpeg動画、単語ベースのキーボードバッファ、クリップボードロギング — 各セッションはコンプライアンスと調査のために再構成できます。
ログプライバシーのためにIPをマスク、プロキシチェーン全体で正確なクライアントIPを再構築。
バックエンドコードを一行も変えずに、レスポンスコンテンツをマスク、置換、またはHTML注入します。
クライアントからクッキー値を隠す — バックエンドコードに触れることなくセッションの整合性を保護します。
FTPを単なる開放ポートとしてではなく、コマンドごとに制御された安全なファイル転送セッションとして管理します。
機密データがユーザーまたはログに届く前に、プラットフォームレベルでマスクします。
TR7のデータ漏洩防止のライブデモをご依頼ください。機密管理パネルを通じてウォークスルーします。エンドポイントチェック、ZeroLeak分離、anti-OCRレンダリング、フォレンジック透かし — すべてがWAAPと同じプラットフォーム上で動作します。