Does Zen require agents?

いいえ！他とは異なり、Zen by Aikidoは外部エージェントを必要とせず、アプリケーションに直接統合されます。デプロイはコードを1行追加するだけで簡単に行え、わずか数分で稼働を開始できます。

Do I need to list Aikido as a subprocessor?

ユーザー追跡は完全にオプションであり、デフォルトではオフになっています。IDだけでなく、ユーザーを追跡し個人を特定できる情報（PII）を共有することを選択した場合、Aikido Securityをサブプロセッサーとして記載する必要があります。

Has Aikido itself been security tested?

はい、当社では毎年第三者によるペンテストを実施し、継続的なバグバウンティプログラムを維持することで、問題を早期に発見しています。

What is the performance impact of implementing Zen Firewall in my application?

正直に言って、非常に小さいです。ほとんどのアプリケーションにとって、オーバーヘッドはごくわずかです。当社はパフォーマンスにこだわり、Zenのベンチマークを継続的に実施し、常に超高速であることを確認しています。

ランタイム・アプリケーションの自己保護

Zen、アプリ内ファイアウォールでランタイムも安心

クリティカルなインジェクション攻撃を自動的にブロックしたり、APIのレート制限を導入したり...

無料で始める

実例

デモを予約する

数秒でセットアップ - 設定不要

SQLインジェクションをブロックする

ボットをブロック

レート制限API

OpenAPI仕様を自動作成

利用可能

ブロック
ゼロデイ脆弱性

Zenはアプリケーションの実行中に脅威を検出し、ゼロデイなどの攻撃がデータベースに到達する前にリアルタイムで阻止します。パッチを当て続けたり、新しい脆弱性について心配したりする必要はもうありません。一度インストールするだけで、あとはZenが処理します。

OWASPトップ10とゼロデイ脅威を防ぐ
オートパイロット

SQLとNoSQLインジェクション

データ盗難や認証バイパスなど、悪意のある目的でデータベースクエリを操作しようとする試みをブロックします。MySQL、MongoDB、Postgresなどをサポートします。

コマンド・インジェクション

ユーザー入力を通じて、サーバー上で任意のシステムコマンドを注入・実行する攻撃をブロックする。

パストラバーサル

入力フィールドやファイルパスを操作して、サーバー上の不正なファイルやディレクトリにアクセスしようとする試みをブロックします。

レート制限を設定

ボットやブルートフォースによる攻撃は、アプリケーションに大量のリクエストを送りつけ、サーバーを過負荷にしたり、正規ユーザーのサービスを妨害したりすることを目的としています。

トラフィックをブロックする
粒状
クリティカルなインジェクション攻撃を自動的にブロックしたり、APIのレート制限を導入したり...

既知の脅威行為者をブロックする

Aikidoは CrowdSecを活用し、悪意のあるIPや脅威行為者（ブルートフォース攻撃者、ボットネット行為者など）を即座にブロックします。

ブロック・ボット

SEOクローラー、AIデータスクレーパー、AIアシスタント、アーカイバーなどのボットをブロックする。

ブロック対象国

特定の国からのトラフィックを制限することで、法的要件に準拠したり、攻撃ベクトルの数を減らしたりする。

Torトラフィックをブロックする

Torネットワークからのトラフィックを無効にする。

今すぐ保護を開始する

アプリ内保護の機能をご利用いただけます。

プライバシー

結果

レート制限

パフォーマンス

インストール

メンテナンス

トリアージ

費用

ブロッキング

禅

プライバシーを重視し、サードパーティがキーにアクセスできない

最小限の偽陽性／陰性

ユーザーを意識したレート制限

影響はごくわずか

コマンド1つで、数秒でインストール

ルール更新不要

脆弱性の優先順位付けに役立つ（Aikidoにおいて）

オープンソースはAikidoに含まれる

設定可能

クラウドフレアWAF

サードパーティが秘密鍵へのアクセスを必要とします。

より多くの誤検知や見逃しが発生します。

IPベースのレート制限のみ。

+100msのレイテンシー

複雑な初期設定。

常にアップデートが必要

優先順位付けやリスクフィードバックはありません。

クローズド・ソース、コストは急速に上昇

ジェネリック

完全に組み込み型

WAFとは異なり、Zenはアプリケーション内部で実行され、Aikidoのサーバーに依存しません。外部依存がなく、パフォーマンスが高速化し、常時セキュリティが確保されます。

簡単なセットアップ

余分なインフラストラクチャやハードウェアは不要です。

パフォーマンスへの影響が少ないです。

ランタイム時に安心感を得られます。

スパム、ボット、悪意のあるユーザー入力が心配ですか？Zenなら常時保護されるので安心です。

誤検知と見逃しが大幅に少なくなります。

ブロックリストは単純すぎる。アプリ内コンテクストにより、Zenは悪意のあるコマンドと正当な入力の違いを認識します。誤報はもうありません。

リアルタイムで攻撃を阻止します。

Zenが攻撃がデータベースに到達する前にブロックします。もう違反はありません。

バックグラウンドで実行されます。

Zenはその場でデータを分析し、攻撃を自動的にブロックする。

ルールセットの更新はもう不要です。

継続的な監視は不要です。

余分なフォローアップアクションは不要です。

ユーザー、ボット、国をブロック & IPルートを制限

もし何かがうまくいかない場合、Zenがさらに調整してくれます。

自動生成
OpenAPI仕様

Zenは、インバウンド・トラフィックを分析することにより、文書化されていない忘れられたAPIも含め、すべてのAPIを自動的に検出します。
当社のコンテキスト認識型 DAST は、API の脆弱性と欠陥をスキャンします。実際の攻撃をシミュレートし、一般的なセキュリティ脅威についてすべてのAPIエンドポイントをスキャンします。

AikidoのAPIスキャン

自動生成 API ドキュメント

APIのセキュリティテストを強化する

AI活用
監視

使用中のAIモデルを追跡

アプリケーションがリアルタイムでどのAIモデルを呼び出しているかを正確に確認できます。

データ送信先をマッピングする

データの流れを把握します。AIリクエストの送信先を地域レベルまで追跡します。

モデルごとのコストを監視します。

モデルごとのコストを可視化し、突然の急増に先手を打ちます。

AI利用コンプライアンスを徹底します

AI統合を管理し、セキュリティおよびコンプライアンス要件を満たします。

Zenはあなたのために働く
セットアップ

ドライ・モードでZenをテストし、動作することを確認すれば、アプリが壊れることはない。

セットアップの選択

npm install -- save-exact @aikidosec/firewall

または

yarn add --exact @aikidosec/firewall

Zenをインポートする。

app.js

わずか1行のコードで:

require(@aikidosec/firewall)

または

import @aikidosec/firewall

pip install aikido_zen

または

poetry add aikido_zen

Zenをインポートする。

app.py

わずか1行のコードで:

import aikido_zen

PHPの詳しいインストール方法については、アプリのドキュメントを参照してください。

Javaの詳しいインストール方法については、アプリのドキュメントを参照してください。

詳細な.NETインストール手順については、アプリのドキュメントを参照してください。

Rubyの詳しいインストール手順については、アプリのドキュメントをご参照ください。

Goの詳しいインストール手順については、アプリのドキュメントをご参照ください。

Zen for Node.jsは.Node.jsと互換性があります：

✓ Express

✓ Hono

✓ Hapi

マクロ

✓ Next.js

Fastify

まもなく登場！

Zen for Python 3 は .NET と互換性があります：

Django

✓ Flask

✓ Quart

✓ Starlette

Zen for Python 3 は .NET と互換性があります：

Django

Flask

Quart

よくあるご質問

もっと探索する

ドキュメンテーション

トラストセンター

インテグレーション

Zenはクラウドにデータを送り返しますか？

セキュリティチェックはアプリ内でローカルに実行され、クラウドアクセスなしで動作し続けます。送信するのは攻撃イベント、テレメトリーデータ、そして必要に応じて攻撃に関与したペイロードのみです。

Zenは代理人を必要としますか？

他社製品とは異なり、Zen by Aikidoは外部エージェントを必要とせず、お客様のアプリケーションに直接統合します。デプロイは1行のコードの追加（パッケージのインポート）と同じくらい簡単なので、ほんの数分で立ち上げて実行することができます。このアプローチは速く、軽量で、邪魔になりません！

Aikidoをサブプロセッサーとしてリストアップする必要がありますか？

ユーザー追跡は完全に任意であり、デフォルトではオフになっています。ユーザーを追跡し、IDだけでなく個人を特定できる情報（PII）を共有する場合は、サブプロセッサーとしてAikido Securityをリストアップする必要があります。

Aikido自体はセキュリティテストを受けていますか？

はい、私たちは毎年第三者によるペンテストを実施し、問題を早期に捕捉するために、継続的なバグバウンティプログラムを維持しています。

アプリケーションにZen Firewallを導入した場合のパフォーマンスへの影響は？

正直なところ、非常に小さいです。ほとんどのアプリにとって、ごくわずかなオーバーヘッドです。私たちはパフォーマンスにこだわり、Zenが超高速であり続けることを確認するために常にベンチマークを行っています。

オープンソースですが、問題が発生した場合や、特定の質問がある場合はどうすればよいですか？どこでサポートを受けられますか？

あなたは一人ではありません。Zenを使用している開発者やセキュリティ関係者のコミュニティが広がっています。遠慮なくGitHubのissueを開いてください。私たちはこのプロジェクトを成功させることに全力を注いでおり、それにはサポートも含まれます。

Zenが実際に機能していることを知るにはどうすればよいですか？ブロックされた攻撃を監視し、詳細なレポートを得ることはできますか？

百聞は一見に如かず。Zenは、ブロックされた攻撃について、攻撃の様子や発生源など、あらゆる詳細をログに記録します。まだ攻撃がない場合は、偽の攻撃ウェーブをシミュレートして結果を確認してください。

モンキーパッチはリスクが高いように思えますが、アプリケーションの機能が損なわれたり、予期せぬ競合が発生したりしませんか？

モンキーパッチは評判が悪い傾向があります。しかし、適切に行えば、機能を効率的に追加する賢い方法です。Zenは、コードの非常に特定の領域を対象とし、データベースやサードパーティAPIへのすべての送信トラフィックを監視します。一般的な設定で問題なく動作することを確認するために、厳格なテストを実施しました。バックグラウンドでOpenTelemetryとのテストも行いましたが、競合は発生しませんでした。

なぜZenはWAFよりも誤検知や誤検知が少ないのですか？

従来のWAFは、まるで建物の外で立っている警備員のようなもの。通過する人だけをチェックしており、建物（アプリケーション）内部で何が起きているかまでは見えていません。一方、Zenは“内部の警備員”として、玄関でのチェックに加え、建物内での挙動も常に監視しています。<br><br>ユーザーからの入力とアプリケーションのデータベースリクエストの両方を監視することで、見た目は怪しくないけれど実は危険な動き――例えば、正当な顧客に見えるけれど奇妙な振る舞いをする人物――と、本当に問題のないユーザーとを区別することができます。これにより、誤検知を減らし、実際の脅威が見逃されるリスクも最小限に抑えられます。

パフォーマンスに影響を与えることなく、1つのツールでこれほど多くの脅威を自律的にブロックできるのはなぜですか？

それは理解できる。あまりに素晴らしく聞こえるが、Zenの魔法は3つの重要な点にある。

これはアプリ内のライブラリである、
ユーザーの入力と（データベースやサードパーティのサービスへの）接続の両方を監視します。
膨大なルールリストに頼ることはありません。レーザーフォーカス（高精度な検知）によって、パフォーマンスへの影響をほぼゼロに抑えながら、あなたのアプリケーションをしっかり守ります。

リポジトリを接続したくありません。テストアカウントで試すことはできますか？

もちろん！gitでサインアップする際、どのリポジトリにもアクセス権を付与せず、代わりにデモ用のリポジトリを選択できます。