GraphQL インスペクションが Fastly 次世代 WAF で利用可能に

この度 Fastly 次世代 WAF (Powered by Signal Sciences) で GraphQL インスペクションの利用が可能になりました。このような API セキュリティソリューションを提供している WAF はごくわずかです。これにより Fastly 次世代 WAF は、使用するアーキテクチャや仕様にかかわらず、より幅広い API の保護対策を実施できるようになりました。

API を狙った攻撃がアプリのトラフィックで増えていることから、多くの開発者にとって API のセキュリティは最優先課題です。これは、パブリッククラウドや API に依存するアプリケーションへの迅速なシフトを検討する際にとくに考慮すべき点です。実際、Gartner は API への攻撃は今年、最も頻度の高い攻撃ベクトルとなり、企業の Web アプリケーションにデータ漏洩をもたらすと予想しています。

パフォーマンスが向上するにつれて困難になるセキュリティの確保

これまで API の作成において REST と SOAP が主に使用されてきましたが、効率が良く、高速で特殊性が高い GraphQL を好んで使用する開発者が急速に増えています。GraphQL は、無関係なデータを含まず必要な情報だけを呼び出せるという点で REST よりも優れていると言えます。また、バックエンドに複数のリクエストを送信する代わりに単一のコールでこれを実行できるため、サーバーへの全体的な負荷を軽減できます。

一般的によくあることですが、情報を簡単に取得しやすいところに脅威が集中します。これは GraphQL にも言えることで、多くのセキュリティ上の影響についてパブリッシャーと消費者は認識する必要があります。GraphQL 固有の脆弱性を悪用する攻撃に加え、GraphQL は XSS や CMDEXE、SQLi など、OWASP トップ10タイプの攻撃の影響も受けます。

特別な設定なしですぐに使える GraphQL インペクション

GraphQL の急速な普及にもかかわらず、GraphQL を検査するセキュリティーソリューションはごくわずかです。Fastly 次世代 WAF は、特別な設定なしで OWASP トップ10のインジェクション攻撃や DoS 攻撃に加え、その他の脆弱性を悪用した GraphQL API への攻撃を検出、検査、ブロックします。

よりカスタマイズされた保護対策をお求めの場合は、クエリの深さの最大値やイントロスペクションの最大試行数など、GraphQA を悪用する一般的な攻撃ベクトルによってトリガーされるルールを定義する柔軟性を Fastly 次世代 WAF は備えています。Fastly 次世代 WAF なら、アプリケーションのセキュリティリスクを増やすことなく安心して GraphQL のメリットを活用できます。

Signals

GraphQL API保護を今日から開始

セキュリティソリューションはテクノロジーと共に進化する必要があります。GraphQL インスペクションの実装により Fastly 次世代 WAF は、最先端の API 保護ソリューションを提供します。既存のワークフローで使用している言語を使って作業できる柔軟性と、アプリケーションをリスクにさらすことなく運用効率を向上できる能力を備えた Fastly 次世代 WAF を使って、API を狙う攻撃に対する可視性と保護を強化できます。詳しくは GraphQL インスペクションデータシートをご覧ください。

Fastly 次世代 WAF をご利用のお客様で、現在 API で GraphQL を使用している場合は、担当のアカウントマネージャーまたは japan@fastly.com までご連絡ください。GraphQL インスペクションに関する理解を深め、実際にお試しいただけます。Fastly 次世代 WAF をまだご利用でないお客様は、これを機にせひ Fastly WAF をお試しください。お客様の90%がフルブロックモードで使用している理由などがお分かりいただけます。

James Nguyen
Product Manager
投稿日

この記事は1分で読めます

興味がおありですか?
エキスパートへのお問い合わせ
この投稿を共有する
James Nguyen
Product Manager

Fastly の次世代 WAF の Product Manager である James Nguyen は、受賞歴もある Fastly のセキュリティプロダクトを、さまざまな規模や業界、テクノロジースタックのお客様が迅速かつ容易に導入できるよう尽力しています。消費者向けおよび企業向けセキュリティの分野でキャリアを積み、モバイルセキュリティやオンライン上のプライバシー、ID 管理、API セキュリティなどに関する深い知識を持つ、経験豊富なマネージャーです。Fastly の仕事以外の活動としては、がん患者の骨髄移植を支援する非営利団体「Be The Match」のサポーターとしても活躍しています。