API Gateway と WAAP の違い — なぜ両方必要なのか

• API リクエストのプロセスは、API Gateway から始まり、ここで API の調査、認証／許可、インテリジェントルーティングが実行されます。 

• ゲートウェイを通過すると、トラフィックは App & API Protector に流れ、分散型サービス妨害（DDoS）攻撃の緩和、ボット管理、SSL および TLS 暗号化など、より詳細なセキュリティチェックが実行されます。App & API Protector は、セキュリティポリシーを適用して許可を検証することで、攻撃試行を緩和し修正します。 

• Akamai の多層型セキュリティモデルでは、お客様の重要なバックエンドサービスやマイクロサービスに到達してこれらとやり取りできるのは、安全かつ正当なリクエストに限られます。

• API Gateway と WAAP は、Akamai のセキュリティ制御やアーキテクチャの不可欠なコンポーネントとして、相互に補完しあいながら機能していますが、API の脅威緩和における役割はそれぞれ異なります。

• API Gateway は、API トラフィックの認証、許可、ルーティングを処理し、トラフィックのランタイムパフォーマンスと初期のセキュリティチェックを最適化します。

• 一方、App & API Protector（Akamai の WAAP ソリューション）は、より詳細できめ細かなセキュリティを提供します。Akamai Adaptive Security Engine のような最先端のセキュリティテクノロジーを活用し、巧妙な Web 攻撃や API の悪用など、多くの悪性ハッカーが使用する手口を防御します。

着信する API トラフィックすべてに対する最初のチェックポイントとして API Gateway を使用することにより、以下の機能が可能となります。

• アクセス制御：API Gateway は、エッジで JSON Web Token（JWT）を検証し、API キーを管理します。これにより、不要なトラフィックがコアシステムに到達するのを防ぎ、アイデンティティプロバイダーの負荷を軽減しながら、ネットワークレイテンシーを大幅に改善できます。

• トラフィック管理：API リクエストに制限を設定し適用する機能を活用することで、過剰な API コールが発生してもサービスを維持できます。誰が何にどの程度の頻度でアクセスできるかを細かく制御できます。

• レポートとポリシー適用の強化：API Gateway は、API の使用パターンに関する知見に加え、ルーティングルールや API プライバシー設定などのポリシーを適用する機能も提供します。これにより、最適なパフォーマンスが実現され、多様な標準への確実な準拠が可能となります。

App & API Protector は、単一のフレームワーク内に複数の高度な機能と多層防御を組み込んだ、高速かつ信頼性の高い包括的セキュリティソリューションとして設計されています（図 2）。

多層的に組み込まれた機能とカスタマイズ可能なきめ細かい設定（高度なレート制限など）により、すべてのアプリケーションを効果的に保護できます。これらの機能は最も高度な脅威を阻止し、脆弱性に対処できるように設計されています。また、プラットフォームに関する広範な可視性を活用してクライアントレピュテーションなどの要因への防御を提供する機能もあり、企業が予防的なセキュリティ体制を確立するために役立ちます。

API 攻撃に対する防御に加え、API 探索の機能もあります。これは、新規の API、変更された API、または脆弱な API についてセキュリティチームに警告するとともに、クレジットカード番号や、電子メールアドレス、アカウント情報などの個人情報の使用またはアクセスを試行している API について予防的に報告する機能です。この機能は、データ漏えいの防止や、機微な情報の保護に関する法規の遵守に役立ちます。

DDoS 緩和の市場リーダーとして認められている App & API Protector は、お客様から遠く離れたネットワークエッジで攻撃トラフィックを吸収し消失させることで、インフラを効果的に保護します。最近のイノベーションにより、レート制限などのレイヤー 7 DDoS 防御も強化され、アプリを標的とするボリューム型サイバー攻撃を防御します。

1,700 を超える既知のボットから成る Akamai の広範なディレクトリにアクセスすることで、ボットトラフィックをリアルタイムで可視化できます。また、偏った Web 分析の調査や、オリジンの過負荷の防止、悪性ボットの攻撃をブロックできるほか、独自のボット定義を作成することでサードパーティやパートナーのボットが阻止されずにアクセスできるようにすることも可能です。

App & API Protector は、Akamai の優れたエッジプラットフォームの最先端のパフォーマンスと非常に効果の高いセキュリティ機能を結び付け、Akamai の CDN ソリューションを活かして 100% のサービスレベル契約のアベイラビリティを実現します。Akamai Site Shield、Akamai Image & Video Manager、Akamai mPulse Lite、Akamai EdgeWorkers、Akamai API Acceleration など、お客様から好評をいただいている機能も含まれています。

API Gateway と App & API Protector は、堅牢なセキュリティアーキテクチャの重要なコンポーネントとして機能し、API 管理や予防的セキュリティを最適化するとともに、複雑化する脅威に対する強力かつ包括的な防御を提供します。この 2 つのツールの連携によって、常に変化するサイバー脅威からアプリケーションと API を効果的に保護できるのです。 

これらのソリューションと脅威インテリジェンスが提供するクラス最高レベルのセキュリティにアクセスし、しっかり活用することで、安全かつ効率的なデジタルエコシステムを実現できます。その結果、重要資産を確実に保護しながら、ビジネスを拡大し、魅力的なユーザー体験を提供することが可能となります。