IIJ Safous WAAP

Safous WAAPは、Web APIの脆弱性を狙った攻撃を防御する、ゼロトラストベースのWeb APIセキュリティサービスです。アプリケーション側の脆弱性リスクを排除することで、安全な環境を提供します。

IIJ Safous WAAPの特長

• APIエンドポイントへの攻撃リスクをゼロに

  • ゼロトラストアーキテクチャを応用し、インターネット上からWeb APIを秘匿化することで直接的な攻撃を排除
  • 防御対象のWeb APIが秘匿化されることで攻撃リスクを大幅に低減。ボット攻撃に対しても有効

• ハイレベルな認証とアクセスコントロール

  • モバイルアプリケーションや、デバイスからのアクセスに対して強固な認証の仕組みを追加し、適切なアクセス制御を実現
  • 認可ポリシーはIPアドレスや国、時間の指定などの設定が可能
  • 通信を認可されたアプリ・デバイスのみに限定することで、アプリケーションとデータを保護

• DDoS攻撃をはじめとするWebアプリケーションへの脆弱性対策

  • DDoS対策機能はSafousグローバルPOP上でご提供。WAF機能はAuth Gateway上で稼働し、 SQLiやXSSといった基本的なWebの脆弱性攻撃から防御
  • DDoS対策、WAF機能をマネージド型でご提供。運用にかかる手間やコストを大幅に低減

• 認証モジュールの提供

  コネクタモジュールとしてアプリケーション・デバイス側に組み込むため、以下のモジュールをSDKとしてご提供。
  Android Native (Android studio) 、iOS Native (Xcode)

• 他社と異なるアプローチ

  ゼロトラストアクセス技術を応用することで、アプリケーションのユーザのみがWeb APIを利用可能。防御対象のWeb APIにはインターネット上から到達できないため、第三者による攻撃リスクをゼロにし、ゼロデイ攻撃や脆弱性を狙った攻撃から完全に保護できます。

  	Safous WAAP	一般的なWAAPベンダー
  インバウンドアクセス	受け付けない	受け付ける
  API エンドポイント	発見不可能 インターネット上から到達できないため、第三者からの攻撃は不可能 攻撃できないため、脆弱性リスクがない	発見可能 誰からでもアクセス可能 攻撃自体を防ぐことは不可能
  その他	認証・認可されたアクセスのみ可能 DDoS、WAF（ベーシック） 機能が含まれている	高価なHWやソフトウェアが必要 セキュリティ運用が必要

ユースケース

Safous WAAPは特定の会員向けアプリケーションと、そのデータ保護に適しています。Web APIを利用するECサイトやオンラインバンキングなど、Webサービスのモバイルアプリを開発する事業者向けにサービスを提供します。

モバイルアプリケーション

• 金融系: モバイルバンキング、保険、証券
• ヘルスケア: ケアマネジメント
• エデュケーション: E-ラーニング

IoTアクセス

• IoT:

  トラフィックカウンター
  各種メーター（ガス、電気、水）など

データ交換や提供

• 会員向けデータ交換・提供サービス:

  金融データ、個人情報、分析データなど