アカマイが“WAF超え”のWAAPサービス、API保護や自動チューニングが可能

アカマイ・テクノロジーズは11月16日、WebアプリケーションとAPIを保護するためのソリューション「App ＆ API Protector」を発表した。アカマイが従来提供してきたWAFサービス「Web Application Protector（WAP）」および「Kona Site Defender（KSD）」の後継だが、単にWAFとしてバージョンアップしただけではない。WAAPとしての機能強化を実現しているという。
ガートナーが提唱するWAAPとは？WAAPとは、Web Application and API Protectionの略。「ガートナーは、これまでのWAFを超えるソリューションをWAAPと名付けており、今後大きな潮流になるだろう」。アカマイでプロダクト・マーケティング・マネージャーを務める中西一博氏はこう話した。

ガートナーは今までWAFとして発表してきたマジック・クアドラントのカテゴリー名もWAAPへと変更。アカマイはリーダーのポジションに位置付けられている。

アカマイ・テクノロジーズ プロダクト・マーケティング・マネージャー 中西一博氏

ガートナーがWAFの次世代版としてWAAPを新たに提唱し始めた背景には、従来型のWAFでは守れない領域が増えていることがある。WAAPの正式名称内にある「API」だ。

現代のWebアプリケーションやモバイルアプリには、APIの仕組みが不可欠となっており、アカマイの観測では全体の83％をAPIリクエストが占める。「APIベースのWebリクエストは、通常のブラウザによるアクセスを大きく上回っている」（中西氏）のが現状だ。

これに伴い、APIサーバー（APIエンドポイント）を狙う攻撃も増えており、不正ログイン試行に占める割合は約20％に達しているという。

つまり、APIも含めて「面」で保護するWAAPでなければ、Webアプリケーションを守ることはできない。ガートナーはWAAPの主要機能として、WAF、DDoS防御、ボット管理、API保護の4つを挙げている。