ブログ

API 保護の改善により金融サービスのセキュリティが強化される 5 つの領域

API セキュリティは今日注目の話題であり、それには十分な理由があります。 考えてみると、ほとんどの金融サービス組織はテクノロジー企業のようになってきています。 彼らは、デジタル顧客の要求に応えるためにハードルを上げているフィンテック企業に遅れを取らないように、あるいはフィンテック企業と提携するために、常に革新を迫られています。 その結果、API を介して FinTech を組み込んだ進化した金融サービス エコシステムが生まれ、オープン ファイナンスの動きが大きく成長しました。 これにより、金融サービス機関は、ビジネスを運営するためにこれまで以上に API に依存するようになります。

銀行が API の重要性を認識しているのと同様に、攻撃者も API の重要性を認識しているのは当然です。 ビジネスクリティカルな API は、API を悪用、乱用、侵害することで利益を得たり、その他のメリットを得たりできると認識している攻撃者の標的に常になっています。 同時に、近年、攻撃対象領域は大幅に拡大しています。 これは主に、業界を席巻しているハイブリッドおよびマルチクラウド環境の管理の複雑さと難しさが増していることによるものです。 これらすべてが、大規模なデータ侵害、コンプライアンスの問題、規制上の罰金という形で、ビジネスに重大な影響を及ぼします。

もちろん、ニュースはすべて悪いわけではありません。 金融サービス組織が信頼できるパートナーと連携することで、API に対する脅威からより適切に保護することができます。 適切な信頼できるパートナーが API セキュリティの向上に役立つ 5 つの領域を見てみましょう。

  1. 発達: 開発チームは厳しい課題に直面しています。 一方で、必要な機能を開発して動作させるという厳しい期限に直面しています。 一方、セキュリティ チームによって定義された要件に従って API を開発します。 しかし、これらの要件を強制したり、何らかの方法でチェックしたりする実際の方法は存在しません。 確かに、コードを監査してレビューすることは可能ですが、これは面倒で時間のかかるプロセスであり、人為的なエラーや見落としが発生しやすくなります。 また、これは他の重要な優先事項に後回しにされることが多いプロセスでもあります。 ほとんどの企業では、開発者の数がセキュリティ専門家の数を大幅に上回っているため、規模の問題が生じます。 その結果、バグ、見落とし、脆弱性が開発プロセスを通過し、実稼働 API に侵入することになります。 自動化だけが、セキュリティ制御の拡張に役立ち、セキュリティ チームが邪魔をしてビジネスに必要なペースを遅らせることを防ぎます。 信頼できるパートナーと協力して、スキーマ、標準、ポリシーを自動的に適用する方がよい方法です。
  2. アクセス制御: 信じられないかもしれませんが、誰がどのような API にアクセスできるかを制御することは、依然として課題です。 現代のビジネスの複雑さを考えれば、これは信じ難いことではないかもしれません。 ほとんどの企業には、2 つ以上のクラウド プロバイダーと、オンプレミス環境やデータ センター環境があります。 通常、これらのさまざまな場所のそれぞれでネットワーク、テクノロジー、開発、セキュリティ スタックを管理するには、複数のチームが必要です。 したがって、API へのアクセスの制御 (および監視) が深刻な課題となっているのも不思議ではありません。 実際、2023 OWASP API セキュリティ トップ 10のうち 4 つは認証/承認に関連しています。 信頼できる適切なプロバイダーは、複雑な状況を簡素化し、混乱した状況を落ち着かせるのに役立ちます。 これにより、企業は適切なアクセス制御を含め、これらの環境の運用、保守、セキュリティ保護に完全に集中できるようになります。
  3. 不正な API: 場合によっては、正式なプロセスに時間がかかり、開発者は開発期限に間に合わせるために新しいインフラストラクチャとエンドポイントを立ち上げることがあります。 あるいは、インフラストラクチャとエンドポイントが見落とされ、適切にインベントリ化、管理、監視、保護されなかった可能性もあります。 理由に関係なく、不正な API は存在します。 API が不明な場合、インベントリの作成、管理、監視、およびセキュリティ保護を行うことはできません。 信頼できる優れたパートナーは、企業が未知の API を検出するだけでなく、そのセキュリティを確保するのにも役立ちます。
  4. WAFだけでは不十分: Web アプリケーション ファイアウォール (WAF) がセキュリティ スタックに不可欠な要素であることは間違いありません。 WAF は、さまざまな脅威に対する重要な保護を提供します。 しかし、それらは API に対して毎日行われるあらゆる種類の攻撃を阻止することを意図したものではありませんでした。 さらに、API は急速に進化しており、セキュリティ制御では検出できないまったく新しい種類の脆弱性が生じる可能性があります。 信頼できるパートナーが提供するサービスは、 WAF に加えて、API の脆弱性を特定して軽減する高度な機能を統合して提供しない限り、完全なものにはなりません。
  5. 高度な攻撃: アプリケーションが既知の一般的な攻撃の標的になる時代は終わりました。 高度な攻撃者は、気付かれずに機密性の高いビジネス フローを公開し、データを抽出し、詐欺行為を引き起こし、アプリケーションを停止させ、評判を落とすような高度な攻撃を仕掛けます。 これには、手動攻撃と自動 (ボット) 攻撃の両方が含まれます。 こうした高度な攻撃を識別、検出、軽減するには、専門的なノウハウが必要です。 最も高度な攻撃に対する防御は、信頼できるパートナーが提供する API セキュリティ サービスの一部である必要があります。

もちろん、これは網羅的なリストではありません。 各金融サービス組織は、リスク レジスターを確認して、どのリスクと脅威がビジネスに最も大きな影響を与える可能性があるかを把握する必要があります。 より深刻な影響を与える可能性のあるものには、より高い優先順位が付けられます。 ただし、多くのリーダーは API セキュリティ リスクの実際の範囲を最も効果的に評価する方法を知らない可能性があることに注意することが重要です。 そのため、適切なパートナーと協力することがさらに重要になります。 理想的には、API セキュリティに関連するリスクはリストのかなり上位に位置するべきであり、それによって投資に値する優先トピックになります。 これには、API セキュリティの重要性を理解し、適切なソリューションを提供する適切なパートナーと連携することが含まれます。

詳細については、 「銀行および金融サービス向けのサイバーセキュリティ」をご覧ください。