クラシックなWAAPはHTTPリクエストのペイロードを既知の攻撃シグネチャ — SQL injection、XSS、command injection — に対して検査します。この作業は依然として不可欠であり、攻撃の多くは依然としてここで食い止められます。しかし攻撃面はもはや署名されたHTTPペイロードだけに限定されません。
公開APIはブラウザリクエストとは異なるトラフィックを運び、従来のWAAPルールはそれを見落とします。自動ボットは実際のユーザーを模倣し、シグネチャチェックを回避し、大規模にクレデンシャルを試みます。アカウント乗っ取りは正当に見えるトラフィックで有効なログインエンドポイントを狙うcredential stuffingキャンペーンによって発生します。ページ上のサードパーティJavaScriptはフォームデータを攻撃者に直接送信します — WAAPはこれを認識しません。データはサーバーに到達する前にブラウザから離れるからです。
業界の答えはWAAP — Web Application and API Protection — であり、WAAPの上にAPIセキュリティ、ボット管理、アカウント乗っ取り防止、client-side防御を追加する単一の統合基盤です。TR7はこの基盤を一つのプラットフォームとしてオンプレミスで実装し、アプリケーションをすでに配信している同じvServiceに接続します。
それぞれ単独でも価値があります。組み合わせることで、他社クラウドに依存しないモダンなWeb Application & API Protectionプラットフォームの姿を再定義します。
ほとんどのモダンWAAPオプションは、お客様が運用しないエッジクラウドを通じてトラフィックをルーティングします。TR7 WAAPはお客様のハードウェア上で、お客様のデータセンター内で、お客様のネットワーク制御下で動作します。サードパーティによるトラフィック傍受なし、ネットワーク外でのリクエスト復号なし、共有マルチテナントエッジなし。
WAAP(OWASP Top 10 + カスタムシグネチャ + Virtual Patching)、APIセキュリティ(discovery + OpenAPIスキーマ適用)、ボット管理、アカウント乗っ取り防止、L7 DDoS保護、client-sideおよびMagecart防御。一つのプラットフォーム;別々のアプライアンスを縫い合わせたスイートではありません。
10,000+のアクティブシグネチャを継続的に更新。OWASP Web Top 10とOWASP API Top 10で10/10カバレッジ。すべての検出が100+のCWEコード、30+のCAPECパターン、30+のMITRE ATT&CKテクニックにネイティブにマッピングされるため、SOCとコンプライアンスチームはWAAPイベントをすでに使用している分類体系で確認できます。
11ファクターの行動スコアリングエンジンがアプリケーションの通常トラフィックに適応します — TLSフィンガープリント、23カテゴリのIP reputation、リクエストリズム、その他。加えて、パースされたJSONボディ値、ヘッダーコンテンツ、クッキーコンテンツを含む任意のトラフィック属性に対してスクリプトを一行も書かずにレート制限やアクションを実行できるコンテンツ認識ルールエンジン。
ネットワークエッジで吸収されたボリューメトリックDDoS、WAAPによりブロックされたリクエスト、ボットチャレンジ、レート制限されたトラフィック — これらはいずれも帯域幅メーターに含まれません。WAAPが働けば働くほど、スループットと課金対象帯域幅の差が広がります。
以下の各機能はWAAPプラットフォームの一部として提供され、既存のvServiceに接続されます。
OWASP Web Application Top 10とOWASP API Security Top 10の両方で10/10カバレッジ。SQL injection、XSS、command injection、CSRF、path traversal、broken object-level authorizationなど — すべて継続的に更新されるマネージドシグネチャでカバーされています。
既知の攻撃パターン、エクスプロイトプリミティブ、新興CVEをカバーする継続的に更新されるシグネチャセット。Virtual Patchingにより新しいCVEを数週間ではなく数時間でデプロイ済みルールに変換します。
すべての検出がCWEコード(100+コード)、CAPECアタックパターン(30+パターン)、MITRE ATT&CKテクニック(30+テクニック)にマッピングされます。SOC調査、SIEM相関、コンプライアンスレポートがセキュリティスタック全体と同じ分類体系を使用します。
組織固有のシグネチャ、例外ルール、Virtual Patchesを追加。vServiceごとのルールスコーピングにより、あるサービスのポリシーが別のサービスに影響しません。
API discoveryにより実際に使用されているエンドポイントが浮かび上がります。OpenAPIスキーマ適用によりリクエストメソッド、パス、パラメータ、ボディをコントラクトに対して検証します。エンドポイントごとのレート制限とメソッド制限。
11ファクターの重み付きスコアリングエンジンがTLSフィンガープリント、23カテゴリのIP reputation、リクエストリズム、リクエスト形状を分析します。行動ベースラインが時間をかけてアプリケーションの通常トラフィックに適応し、低偽陽性に調整された指数スコアリングカーブを提供します。
任意のトラフィック属性に対してレート制限、チャレンジ、またはブロック — ヘッダー値、クッキーコンテンツ、URLパラメータ、パースされたJSONリクエストボディ内の値さえも。プラットフォームの他の場所で使用される同じルールビルダーで視覚的に設定。独自スクリプト言語は不要。
ログインエンドポイントでのcredential stuffingパターンを検出します。単一IPレート制限が見逃す分散型low-and-slow試行、impossible travel、異常なセッション作成レートを認識します。
HTTPフラッド、slow-loris、アプリケーション層のボリューメトリック攻撃がWAAP層で吸収されます。完全なベクター範囲をカバーするため、TR7のL4 DDoS保護と組み合わせてご使用ください。
ページが読み込むサードパーティスクリプトを監視します。不正なスクリプト変更、疑わしいフォームデータ流出パターン、サーバーサイドWAAPでは見えないサプライチェーンskimming攻撃を検出します。
WAAP、ボットフィンガープリント、IP reputationフィードのシグネチャデータベースが継続的に更新されます — 手動ダウンロードサイクルなし、サイト間のバージョン差異なし。
TLS終端はクラシックな暗号スイートと並行してpost-quantum cipher suitesをサポートします — 必須となった際に再アーキテクティングなしで移行に対応。
テナントまたはビジネスユニットごとにサービスをグループ化し、グループレベルでポリシーを適用。企業テナント用の一つのルールセット、顧客テナント用の別のルールセット、いずれも同じプラットフォーム上で。
ポリシーごとのブランド付きブロックページ。ブロックされたリクエストに適切なメッセージを表示し、攻撃が自動ロックダウンを発動した際はメンテナンスページを提供。
ペイロード検査では不十分な場合 — リクエストは問題なく見えるが攻撃者がブラウザでレンダリングされたDOMをターゲットにしている — ZeroLeak分離層がアプリケーションをデバイス外でレンダリングするため、ユーザーのマシンに攻撃者が流出させるものは何も残りません。
すべてのWAAP決定 — ブロック、チャレンジ、許可 — が構造化されたテレメトリーを出力します。vServiceを管理するのと同じコンソールで任意のリクエストをエンドツーエンドで調査できます。
明確に定義された6つのステージ。すべてのステージはvServiceごとに設定可能。すべてのステージはDynamic Flow Panelでダイアグラムとして確認できます。
リクエストがvServiceリスナーに到達します。WAAPレイヤーが平文を検査できるよう、ここでTLSが終端されます。モダン暗号、ハードウェアアクセラレーションによるハンドシェイク。
L7 DDoS保護、IP reputationフィード、地理ポリシーが深層検査の前に動作します。明らかなフラッドトラフィックと既知の悪意あるソースが検査予算を消費することなくドロップされます。
OWASPシグネチャチェック、カスタムルール、構造的攻撃検出、パラメータと引数の検証。リクエストがスコアリングされ決定されます:許可、ブロック、Virtual Patch、または行動分析へのパス。
シグネチャと行動シグナルがリクエストを人間、既知のボット、または未知の自動化としてスコアリングします。ポリシーごとの軽減:許可、チャレンジ、スロットル、またはドロップ。
APIエンドポイントをターゲットにしたリクエストに対して、OpenAPIスキーマチェックがメソッド、パス、パラメータ、ボディをコントラクトに対して検証します。不一致は設定されたアクションを発動します。
決定が適用されます — バックエンドへのパス、ブロックページ返却、チャレンジ発行、またはレート制限。完全な決定チェーンが調査とコンプライアンスのためにログに記録されます。
ボット管理が高トラフィックイベント中にcredential stuffingとcardingボットをブロックします。WAAPルールがOWASP Top 10攻撃を阻止し、client-side防御がチェックアウト時にskimmerがカードデータを収集するのを防ぎます。
OWASP必須コントロール、ログインエンドポイントでのアカウント乗っ取り防止、オープンバンキングフローのAPIprotection、規制審査のための監査対応ログ。
アプリケーション層での患者データ保護、オンプレミス展開によりPHIを院内ネットワーク内に保持、インジェクション型データ漏洩を防ぐポータルAPIのスキーマ検証。
データ主権が交渉の余地のない市民向けサービスのためのオンプレミスWAAP。コンプライアンスフレームワークのOWASPカバレッジ、セキュリティオペレーションチームの監査ログ。
OpenAPIコントラクトに対するスキーマ検証、エンドポイントごとのレート制限、メソッド制限、パラメータ検証。APIスクレイピングとcredential stuffingを阻止するためのボット管理との組み合わせ。
継続的なcredential stuffingの圧力下に置かれているログインエンドポイント。ATO検出が、単一IPレート制限が見逃す分散型試行、impossible travel、異常なセッション作成レートを認識します。
このソリューションが参照する機能 — 上記で説明した制御を構成する技術的要素。
アプリケーションコードに触れることなく、レスポンス層で不足しているHttpOnly、Secure、SameSiteフラグを補完します。
WAAP検査、mTLSアイデンティティ、データマスキングは、トラフィックがTLS経由でバックエンドに流れても機能し続けます。
JSONボディフィールドとJWTコンテンツを、すべてのトラフィック判断のためのファーストクラスシグナルに変換します。
バックエンドコードを一行も変えずに、レスポンスコンテンツをマスク、置換、またはHTML注入します。
即時ブロックの代わりに行動を監視し、しきい値を超えたソースを期限付きで隔離して自動的に解放します。
一つの式言語 — トラフィック、ヘルス、ロギング、GTM、セキュリティ、アクセス決定が同一モデルで。
本番トラフィックをリクエスト単位で把握 — 観察を直接ルールアクションへ変換します。
30以上の分析軸、3フォーマット(PDF / XLSX / HTML)、最大10年のオンデバイス履歴 — 別途管理サーバー不要。
3000+ルール、OWASP / API Top 10 / CWEタクソノミー、14の相関軸、ホストグループごと + クロスグループロールアップ。
クライアントからクッキー値を隠す — バックエンドコードに触れることなくセッションの整合性を保護します。
ヘッダーを超える — ボディコンテンツをトラフィックとセキュリティの決定に組み込みます。
TLSをファイルベースの設定から脱却させ、サービスごとのセキュリティプロファイル、証明書ライフサイクル、post-quantum対応層へと変えます。
バックエンドのIPアドレス、ゲートウェイ、ルートに触れずにTR7 ADCをトラフィックパスに挿入。
FTPを単なる開放ポートとしてではなく、コマンドごとに制御された安全なファイル転送セッションとして管理します。
ADC、ルーティング、L3/L4セキュリティを単一コンソールから。
シグネチャ、スコア、コンテキストを単一エンジンで組み合わせる — 既知の攻撃を確信を持って管理。
生成も、配信も、検証も — すべてADC内で完結。サードパーティクラウドへの呼び出しはゼロ。
組み込みシグネチャセットの横に独自のWAAPロジックを追加 — 同じスコアリングエンジン、同じログ、同じポリシーパイプライン。
外部サービスへの依存なしに、国・ASNコンテキストをアクセス判断へ変換。
TR7のセントラルフィード、外部URLリスト、独自の例外が単一のIPレピュテーションエンジンに統合。
SIEM前段でUDPおよびTCP syslogトラフィックを収集・分類・複製・転送します。
エンタープライズDNSトラフィックを高速化し、悪意のあるクエリをブロック — 単一レイヤーで。
単なるIPリストではない — 60以上の基準、AND/OR/NOTグループ、スマートファンクションチェーンによる真のトラフィックインテリジェンス。
コード変更なしで数分以内にトラフィック層で脆弱性を閉じます。
GraphQLトラフィックを単純なPOSTボディとして扱わない — WAAP内でイントロスペクション、ネストDoS、クエリバッチングパターンを検出します。
アプリケーションコードに触れることなく、ADC層で8つのセキュリティヘッダーを適用。
ジェネリックな「アクセス拒否」の代わりに、ブランド、言語、reason code を伝える制御されたブロック体験を提供します。
TR7 WAAPのライブデモをご依頼ください。WAAP、APIセキュリティ、ボット管理、client-side防御を一つのセッションでお客様の環境に設定します。