EnvoyとWASMで適応型摩擦に対応するAPIゲートウェイを構築する (JA-1)

適応型摩擦とはリアルタイムのリスク信号に基づいて検証ステップを調整する動的なセキュリティポリシーを実装することで、ユーザーエクスペリエンスと不正防止の両方を最適化します。

EnvoyとWASMの相乗効果堅牢なトラフィック管理にはEnvoy Proxyを、APIゲートウェイ内の高性能で移植性の高い拡張可能なカスタムロジックにはWebAssembly (WASM) を活用します。

リアルタイムポリシー適用エッジで瞬時の意思決定を実現し、バックエンドサービスに影響を与えることなく、アクセスと検証フローをきめ細かく制御できます。

DiditのIDオーケストレーションにおける役割DiditのAIネイティブな本人確認スイート（ID検証、生体検知など）をゲートウェイに直接統合し、シームレスでコンプライアンスに準拠した不正に強いユーザー体験を提供します。

現代のAPIゲートウェイにおける適応型摩擦の必要性

今日のデジタル環境では、ユーザーエクスペリエンスと堅牢なセキュリティのバランスを取ることが極めて重要です。従来の静的なセキュリティ対策では、正当なユーザーにとっては過剰な摩擦が生じるか、高度な脅威に対しては不十分な保護しか提供できないことがよくあります。ここで「適応型摩擦」の概念が重要になります。適応型摩擦とは、リアルタイムのリスク評価に基づいて、必要とされるセキュリティと検証のレベルを動的に調整することです。例えば、リスクの低いユーザーはシームレスなログインを体験できますが、リスクの高い取引や未知のデバイスからのアクセスは、生体認証スキャンや書類チェックなどの追加の本人確認ステップをトリガーする可能性があります。

APIゲートウェイは、このような適応型ポリシーを実装するのに理想的な場所です。すべてのAPIトラフィックの単一のエントリポイントとして機能し、認証、認可、レート制限、そして何よりも重要な動的ポリシー適用のための中央制御プレーンを提供します。このレイヤーでインテリジェンスを統合することで、組織はより安全でユーザーフレンドリーなエクスペリエンスを構築できます。

Envoy ProxyをAPIゲートウェイの基盤として活用する

Envoy Proxyは、最新のAPIゲートウェイとサービスメッシュを構築するための主要な選択肢として登場しました。Lyftによって開発され、現在はCloud Native Computing Foundation (CNCF) のプロジェクトであるEnvoyは、高性能なオープンソースのエッジおよびサービスプロキシです。その主な機能は以下の通りです。

• 高性能: C++で構築されており、速度と効率のために設計されています。
• 拡張性: 豊富なフィルタチェーンメカニズムにより、リクエストライフサイクルのさまざまなポイントでカスタムロジックを挿入できます。
• 可観測性: 豊富なメトリクス、ロギング、トレース機能をすぐに提供します。
• 動的構成: xDS APIを介した動的更新をサポートし、ダウンタイムなしで構成変更を可能にします。

これらの機能により、Envoyは複雑なルーティング、トラフィック管理、セキュリティポリシーを処理する必要があるAPIゲートウェイにとって優れた選択肢となります。ただし、真に適応型の摩擦を実現するには、プロキシの再コンパイルや再起動なしに、リアルタイムの信号に反応できるカスタムのアプリケーション固有のロジックを注入する方法が必要です。

エッジでのカスタムでポータブルなロジックのためのWebAssembly (WASM)

ここでWebAssembly (WASM) がAPIゲートウェイのゲームチェンジャーとなります。WASMは、実行可能ファイルのための安全でポータブルな高性能バイナリ命令フォーマットを提供します。これにより、開発者はC++、Rust、Go、AssemblyScriptなどの言語でEnvoy用のカスタムフィルターを記述し、それらをWASMにコンパイルして、Envoyに動的にロードすることができます。これにより、いくつかの大きな利点が得られます。

• パフォーマンス: WASMモジュールはほぼネイティブの速度で実行されます。
• ポータビリティ: 一度コンパイルされると、WASMモジュールはEnvoyを含むWASM互換のランタイムで実行できます。
• 分離とセキュリティ: WASMモジュールはサンドボックス環境で実行されるため、プロキシのコア機能や他のモジュールとの干渉を防ぎます。
• 動的ローディング: WASMフィルターは、プロキシ全体の再起動を必要とせずにEnvoyに更新およびリロードできるため、新しいポリシーの迅速な反復と展開が可能になります。

Envoyの堅牢なプロキシ機能とWASMの柔軟性を組み合わせることで、リアルタイムの適応型ポリシーを適用できるAPIゲートウェイを構築できます。例えば、WASMフィルターは、受信リクエストを検査し、IPレピュテーション、デバイスインテリジェンスをチェックしたり、リアルタイムの不正検出サービスと統合したりして、リクエストを許可するか、追加の検証（Diditの受動的・能動的生体検知など）でユーザーにチャレンジするか、または完全にブロックするかを決定できます。

EnvoyとWASMによる適応型摩擦ポリシーの構築

適応型摩擦を実装するために、WASMフィルターは通常、次のことを行います。

1. リクエストコンテキストの抽出: IPアドレス、ユーザーエージェント、要求されたエンドポイント、認証ステータスなどの情報を収集します。
2. リスクエンジンとの統合: 外部のリスク評価サービスまたは内部のポリシーエンジンを呼び出します。ここでDiditの堅牢なIDスイートが非常に役立ちます。例えば、リスクエンジンがユーザーにフラグを立てた場合、WASMフィルターはDiditのID検証または1対1の顔照合を使用して、ステップアップ検証フローをトリガーできます。
3. ポリシーの評価: リスクスコアと事前定義されたルールに基づいて、適切なアクションを決定します。
4. アクションの適用:
• パススルー: リクエストの処理を許可します。
• ステップアップ検証: ユーザーを検証フローにリダイレクトします（例：年齢制限コンテンツのDiditの年齢推定、金融サービスのアドレス証明）。
• ブロック: リクエストを拒否し、エラーを返します。
• レート制限: 不審なアクティビティに対してより厳格なレート制限を適用します。

この動的なアプローチにより、次のようなポリシーを適用できます。

• ユーザーが新しいデバイスまたは異常な場所からログインした場合、アクセスを許可する前にDiditの受動的・能動的生体検知を使用して生体チェックをトリガーします。
• 高額取引の場合、DiditのOCRおよびMRZスキャン機能を使用した完全なID検証を要求します。
• 年齢制限コンテンツにアクセスするユーザーの場合、Diditのプライバシー保護年齢推定を統合して適格性を確認します。
• 高リスクとフラグが立てられた金融取引について、Diditを通じてリアルタイムのAMLスクリーニングとモニタリングを実行します。

WASMの力は、これらのポリシーをEnvoyバイナリとは独立して記述、テスト、デプロイできることを意味し、進化する脅威やコンプライアンス要件に比類のない俊敏性で対応できます。

Diditがどのように役立つか

Diditは、適応型摩擦のためのEnvoy + WASM APIゲートウェイを完璧に補完する、AIネイティブで開発者優先のIDプラットフォームです。当社のモジュラーアーキテクチャとクリーンなAPIは、カスタムWASMフィルターまたはアプリケーションロジックにシームレスに統合できます。Diditは、リアルタイムのリスクオーケストレーションと自動化された信頼に必要なコアIDプリミティブを提供します。

• ID検証 (OCR、MRZ、バーコード): グローバルな本人確認のための書類チェックを自動化します。
• 受動的・能動的生体検知: 高度な生体検知でディープフェイクやプレゼンテーション攻撃に対抗します。
• 1対1の顔照合と顔検索: ユーザーを検証済みIDに安全にリンクさせます。
• AMLスクリーニングとモニタリング: ウォッチリストと照合してスクリーニングすることで、グローバル規制への準拠を確実にします。
• 年齢推定: ゲーム、アルコール、アプリストアなどの規制対象業界向けのプライバシー保護年齢確認。
• アドレス証明: 居住地の住所を迅速かつ効率的に検証します。
• 電話とメールの検証: アカウントセキュリティを強化し、不正な登録を防ぎます。

Diditの包括的なスイートを統合することで、Envoy + WASMゲートウェイは、信頼とリスクに関するインテリジェントなリアルタイムの意思決定を行うことができます。DiditのFree Core KYCは強力な出発点を提供し、セットアップ費用なしの成功報酬型モデルは、あらゆる規模の企業にとって経済的に実行可能で非常にスケーラブルなソリューションとなります。当社のAIネイティブなアプローチは、精度と効率を保証し、手動レビューよりも自動化を推進し、より良い洞察とコンプライアンスのための構造化されたIDデータを提供します。

開始する準備はできましたか？

Diditの動作をご覧になりませんか？今すぐ無料デモを入手してください。

Diditの無料ティアで無料で本人確認を開始してください。