ランタイム・アプリケーションの自己保護

Zen、アプリ内ファイアウォールでランタイムも安心

クリティカルなインジェクション攻撃を自動的にブロックしたり、APIのレート制限を導入したり...

△禅を得る

実例

数秒でセットアップ - 設定不要

SQLインジェクションをブロックする

ボットをブロック

レート制限API

Swaggerドキュメントの自動作成

利用可能

近日公開

ブロック
ゼロデイ脆弱性

Zenはアプリケーションの実行中に脅威を検出し、ゼロデイなどの攻撃がデータベースに到達する前にリアルタイムで阻止します。パッチを当て続けたり、新しい脆弱性について心配したりする必要はもうありません。一度インストールするだけで、あとはZenが処理します。

OWASPトップ10とゼロデイ脅威を防ぐ
オートパイロット

SQLとNoSQLインジェクション

データ盗難や認証バイパスなど、悪意のある目的でデータベースクエリを操作しようとする試みをブロックします。MySQL、MongoDB、Postgresなどをサポートします。

コマンド・インジェクション

ユーザー入力を通じて、サーバー上で任意のシステムコマンドを注入・実行する攻撃をブロックする。

パストラバーサル

入力フィールドやファイルパスを操作して、サーバー上の不正なファイルやディレクトリにアクセスしようとする試みをブロックします。

レート制限の設定

ボットやブルートフォース（総当たり）による攻撃で、アプリにリクエストが殺到し、サーバーを圧倒したり、正規ユーザーのサービスを妨害したりすることを狙います。

トラフィックをブロックする
粒状
クリティカルなインジェクション攻撃を自動的にブロックしたり、APIのレート制限を導入したり...

既知の脅威行為者をブロックする

Aikidoは CrowdSecを活用し、悪意のあるIPや脅威行為者（ブルートフォース攻撃者、ボットネット行為者など）を即座にブロックします。

ブロック・ボット

SEOクローラー、AIデータスクレーパー、AIアシスタント、アーカイバーなどのボットをブロックする。

ブロック対象国

特定の国からのトラフィックを制限することで、法的要件に準拠したり、攻撃ベクトルの数を減らしたりする。

Torトラフィックをブロックする

Torネットワークからのトラフィックを無効にする。

今すぐ保護される

アプリ内プロテクションのパワーを手に入れる

プライバシー

結果

レート制限

パフォーマンス

インストール

メンテナンス

トリアージ

費用

ブロッキング

禅

プライバシーを重視し、サードパーティがキーにアクセスできない

最小限の偽陽性／陰性

ユーザーを意識したレート制限

影響はごくわずか

コマンド1つで、数秒でインストール

ルール更新なし

脆弱性の優先順位付けに役立つ（Aikidoにおいて）

オープンソースはAikidoに含まれる

設定可能

クラウドフレアWAF

第三者による秘密鍵へのアクセス

偽陽性／陰性の増加

IPベースのレート制限のみ

+100msのレイテンシー

複雑な初期設定

常にアップデートが必要

優先順位付けやリスクのフィードバックがない

クローズド・ソース、コストは急速に上昇

ジェネリック

完全埋め込み

WAFとは異なり、Zenはアプリケーション内部で実行され、Aikidoのサーバーに依存しません。外部依存がなく、パフォーマンスが高速化し、常時セキュリティが確保されます。

簡単なセットアップ

余分なインフラやハードウェアが不要

パフォーマンスへの影響が少ない

ランタイムに安心感を得る

スパム、ボット、悪意のあるユーザー入力が心配ですか？Zenなら常時保護されるので安心です。

偽陽性と偽陰性が大幅に減少

ブロックリストは単純すぎる。アプリ内コンテクストにより、Zenは悪意のあるコマンドと正当な入力の違いを認識します。誤報はもうありません。

リアルタイムで攻撃を阻止

Zenが攻撃がデータベースに到達する前にブロックします。もう違反はありません。

バックグラウンドで動作

Zenはその場でデータを分析し、攻撃を自動的にブロックする。

ルールセットの更新が不要に

常時監視なし

余計なフォローアップなし

ユーザー、ボット、国をブロック & IPルートを制限

もし何かがうまくいかない場合、Zenがさらに調整してくれます。

自動生成
Swaggerドキュメント

Zenは、インバウンド・トラフィックを分析することにより、文書化されていない忘れられたAPIも含め、すべてのAPIを自動的に検出します。
当社のコンテキスト認識型 DAST は、API の脆弱性と欠陥をスキャンします。実際の攻撃をシミュレートし、一般的なセキュリティ脅威についてすべてのAPIエンドポイントをスキャンします。

AikidoのAPIスキャン

自動生成 API ドキュメント

APIのセキュリティテストを強化する

AIの使用
モニタリング

使用中のAIモデルを追跡

アプリケーションがどのAIモデルを呼び出しているかをリアルタイムで正確に確認できます。

地図データの送信先

データの行き先を知る。AIリクエストの送信先を地域レベルまで追跡。

モデルごとのコストを監視する

モデルごとのコストを可視化し、突然の高騰に備える。

AI利用コンプライアンスの徹底

AI統合の管理を維持し、セキュリティおよびコンプライアンス要件を満たす。

Zenはあなたのために働く
セットアップ

ドライ・モードでZenをテストし、動作することを確認すれば、アプリが壊れることはない。

セットアップの選択

npm install -- save-exact @aikidosec/firewall

または

yarn add --exact @aikidosec/firewall

Zenをインポートする。

app.js

たった1行のコードで：

require(@aikidosec/ファイアウォール)

または

インポート @aikidosec/firewall

pip install aikido_zen

または

aikido_zen 詩を追加

Zenをインポートする。

app.py

たった1行のコードで：

import aikido_zen

PHPの詳しいインストール方法については、アプリのドキュメントを参照してください。

Javaの詳しいインストール方法については、アプリのドキュメントを参照してください。

詳細な.NETインストール手順については、アプリのドキュメントを参照してください。

Rubyの詳しいインストール方法については、アプリのドキュメントを参照してください。

Zen for Node.jsは.Node.jsと互換性があります：

エクスプレス

ホノ

ハピ

マクロ

Next. js

Fastify

まもなく登場！

Zen for Python 3 は .NET と互換性があります：

Django

フラスコ

クォート

スターレット

Zen for Python 3 は .NET と互換性があります：

ジャンゴ

フラスコ

クォート

よくあるご質問

もっと探索する

ドキュメンテーション

トラストセンター

インテグレーション

Zenはクラウドにデータを送り返しますか？

セキュリティチェックはアプリ内でローカルに実行され、クラウドにアクセスすることなく動作し続けます。攻撃イベント、遠隔測定データ、そして必要に応じて攻撃に関与したペイロードのみを送り返します。

Zenは代理人を必要としますか？

他社製品とは異なり、Zen by Aikidoは外部エージェントを必要とせず、お客様のアプリケーションに直接統合します。デプロイは1行のコードの追加（パッケージのインポート）と同じくらい簡単なので、ほんの数分で立ち上げて実行することができます。このアプローチは速く、軽量で、邪魔になりません！

Aikidoをサブプロセッサーとしてリストアップする必要がありますか？

ユーザー追跡は完全に任意であり、デフォルトではオフになっています。ユーザーを追跡し、IDだけでなく個人を特定できる情報（PII）を共有する場合は、サブプロセッサーとしてAikido Securityをリストアップする必要があります。

Aikido そのものは安全保障のテストを受けているのか？

はい。毎年サードパーティによるペンテストを実施し、継続的なバグ報奨金プログラムを維持して、問題を早期に発見しています。

アプリケーションにZen Firewallを導入した場合のパフォーマンスへの影響は？

正直なところ、それは小さい。ほとんどのアプリのオーバーヘッドはごくわずかです。私たちはパフォーマンスにこだわっており、常にZen ベンチマークを行い、電光石火の速さを維持しています。

オープンソースですが、問題にぶつかったり、具体的な質問がある場合はどうすればいいのでしょうか？どこでサポートを受けられますか？

あなたは一人ではありません。Zenを使用している開発者やセキュリティ関係者のコミュニティが広がっています。遠慮なくGitHubのissueを開いてください。私たちはこのプロジェクトを成功させることに全力を注いでおり、それにはサポートも含まれます。

Zenが実際に機能していることを知るにはどうすればよいですか？ブロックされた攻撃を監視し、詳細なレポートを得ることはできますか？

百聞は一見にしかず。Zen ログは、ブロックされた攻撃の詳細（攻撃の様子、攻撃元など）を記録します。まだ攻撃を受けていませんか？偽の攻撃波をシミュレートして結果をご覧ください。

モンキー・パッチはリスクが高そうだ。自分のアプリの機能が壊れたり、予期せぬコンフリクトが生じたりしないだろうか？

モンキーパッチは評判が悪い。正しく行えば、巧妙かつ効率的に機能を追加できる。Zen 、コードの非常に特定の領域をターゲットにし、データベースやサードパーティAPIへのすべての発信トラフィックを監視します。私たちは、一般的なセットアップで問題なく動作するよう、厳密にテストしました。バックグラウンドで OpenTelemetry を使ったテストも行いましたが、コンフリクトは発生しませんでした。

なぜZenはWAFよりも誤検知や誤検知が少ないのですか？

従来のWAFは、まるで建物の外で立っている警備員のようなもの。通過する人だけをチェックしており、建物（アプリケーション）内部で何が起きているかまでは見えていません。一方、Zenは“内部の警備員”として、玄関でのチェックに加え、建物内での挙動も常に監視しています。<br><br>ユーザーからの入力とアプリケーションのデータベースリクエストの両方を監視することで、見た目は怪しくないけれど実は危険な動き――例えば、正当な顧客に見えるけれど奇妙な振る舞いをする人物――と、本当に問題のないユーザーとを区別することができます。これにより、誤検知を減らし、実際の脅威が見逃されるリスクも最小限に抑えられます。

パフォーマンスに影響を与えることなく、1つのツールでこれほど多くの脅威を自律的にブロックできるのだろうか？

それは理解できる。あまりに素晴らしく聞こえるが、Zenの魔法は3つの重要な点にある。

これはアプリ内のライブラリである、
ユーザーの入力と（データベースやサードパーティのサービスへの）接続の両方を監視します。
膨大なルールリストに頼ることはありません。レーザーフォーカス（高精度な検知）によって、パフォーマンスへの影響をほぼゼロに抑えながら、あなたのアプリケーションをしっかり守ります。

リポジトリを接続したくありません。テストアカウントで試すことはできますか？

もちろん！gitでサインアップする際、どのリポジトリにもアクセス権を付与せず、代わりにデモ用のリポジトリを選択できます。