ブログ

シフトレフト セキュリティ戦略による API 保護の強化

デビッド・レミントン サムネイル
デビッド・レミントン
2024 年 7 月 1 日公開

ソフトウェア開発者は、今日のクラウドファーストのエコシステムにおいて、API を大量に導入しています。 F5 2024 State of Application Strategy (SOAS) レポートによると、現在、3 分の 1 以上の組織がアプリケーションと同数の API を管理しており、一部の大企業では最大 10,000 個の API を管理しています。1 組織がアプリ ポートフォリオの最新化を続けるにつれて、使用される API の数は 2031 年までに 10 億を超えると予測されています。2

API が急速に増加しているのはなぜでしょうか?

API は効率性と相互運用性を高めるため、現代のアプリケーションには欠かせないものとなっています。 API により、さまざまなソフトウェア システムがシームレスに通信できるようになるため、チームはさまざまなサービスを統合し、プロセスを合理化できるようになります。

AI の台頭により、データ処理、機械学習、自動化などの機能が API に大きく依存するため、API の成長が加速します。 AI の導入が拡大するにつれて、API の必要性も高まります。

しかし、急速な拡大に伴い、重大なセキュリティ上の障害も生じています。 F5 SOASレポートによると、95%の組織がAPIゲートウェイを使用していることが明らかになりました。1しかし、この実践だけでは不十分です。 今日の API セキュリティは、検出と、開発プロセスの早い段階でセキュリティを追加するためのシフトレフトという 2 つの重要な問題に直面しています。

API セキュリティの現状と不足している点

API の保護対策は現在、急増する API の使用に追いついていません。 API ゲートウェイは一定レベルの制御を提供しますが、API 検出と包括的なセキュリティ戦略の基本的なニーズには対応していません。 ガートナーは、2025 年までにすべての API の半分が管理されなくなり、深刻なリスクが生じると予測しています。3 このようなシャドー API は、セキュリティ チームの可視性と制御の外で動作するため、組織を不正アクセス、データ侵害、その他の脅威にさらす可能性があります。 これらには脆弱性が潜んでおり、攻撃者はこれを悪用して機密データに不正アクセスする可能性があります。 この脅威に対処するための最初のステップは、組織の環境内でシャドー API を検出することです。

シャドー API を検出し、関連するマルチクラウドの複雑さを管理するために、チームは API 検出用に設計されたツールを使用して、公開されているドメイン空間を調べることから始めることができます。 会社のドメイン内のすべてのエンドポイントを識別すると、API ランドスケープをマッピングするのに役立ちます。 ただし、API がセキュリティ プロトコルとガバナンス要件が異なるさまざまなプラットフォームにまたがるマルチクラウド環境では、課題はさらに深刻になります。 この複雑さにより、 API 管理とセキュリティに対する戦略的なアプローチが必要になります。

開発者は新しい API を定期的に追加するため、Google Cloud のApigee API 管理や F5 Distributed Cloud API Security などのソリューションを実装できます。これらのソリューションは継続的な検出と監視を提供し、開発サイクルの早い段階でセキュリティ対策を組み込み、API ガバナンスを強化できます。

API セキュリティのシフトレフト

Gartner によると、2026 年までに 40% の組織が、高度な API 保護と Web アプリケーション セキュリティ機能に基づいて WAAP プロバイダーを選択するようになります。 これは2022年の15%未満から増加した数字です。4

これは歓迎すべきニュースですが、より多くの組織がシフトレフトによってセキュリティ対策を CI/CD パイプラインに統合し、API が最初から安全であることを保証できます。 これには、包括的な API ドキュメント、自動化されたセキュリティ チェック、開発者とセキュリティ チームに対する継続的な教育が含まれます。

開発者とセキュリティチーム間のストレスを軽減

歴史的に、迅速な導入に重点を置く開発者と安全性を優先するセキュリティ チームの間には緊張が存在していました。 この負担を軽減するには、セキュリティに対する責任を共有する文化を育むことが不可欠です。 コラボレーションと相互理解を促進することで、目標を一致させ、プロセスを合理化することができます。

APIライフサイクル全体のセキュリティ保護

包括的なアプローチには、継続的な監視、定期的な更新、プロアクティブな脅威の検出、強力な認証および承認メカニズムの実装、AI を活用して脅威を検出して軽減する高度なセキュリティ ツールの採用が含まれます。

F5 と Google Cloud がシフトレフトをお手伝いします

API セキュリティを向上させるための最初のステップは、すべての API の徹底的なインベントリを実行し、管理されていないエンドポイントや古いエンドポイントを特定し、その機能とセキュリティ対策を文書化することです。 組織は、リスク レベルと潜在的な影響に基づいて API のセキュリティ保護を優先する必要があります。 F5 Distributed Cloud API Security や Apigee などの補完的なソリューションは、あらゆる環境で API を保護する包括的なセキュリティ フレームワークの作成に役立ち、相互接続が進む世界で開発者に安心を提供します。

したがって、API の増加は組織にとってチャンスをもたらしますが、チームはセキュリティ上の落とし穴に注意する必要があります。 組織は、シフトレフト、継続的な検出の採用、開発チームとセキュリティ チーム間のコラボレーションの促進によって、API をより効果的に管理できます。

F5 と Google Cloud のスペシャリストが API セキュリティについて語っていることを詳しく知るには、 Shift Left をご覧ください。 F5 と Google Cloud による API セキュリティの変革に関するオンデマンド ウェビナー。 Google Cloud Platform (GCP)にアクセスして、当社のパートナーシップを詳しく調べることもできます。