API保護の向上が金融サービスのセキュリティを強化する5つの分野
APIセキュリティは今日ホットな話題だが、それには理由がある。考えてみれば、ほとんどの金融サービス組織はテクノロジー企業のようになっている。彼らは常にイノベーションを迫られ、デジタルな顧客需要に対応するためのハードルを押し上げるFinTechと歩調を合わせたり、あるいは彼らと提携したりする必要に迫られている。その結果、APIを通じてFinTechを取り込む金融サービスのエコシステムが進化し、オープン・ファイナンスの動きが大きく発展している。
当然のことながら、銀行がAPIの重要性に気づいたことで、攻撃者もAPIに依存するようになりました。ビジネスクリティカルなAPIは、攻撃者に常に狙われています。攻撃者は、APIを悪用、悪用、および/または危険にさらすことで、利益を得るか、そうでなければ利益を得る立場にあることに気づいています。同時に、攻撃対象は近年著しく拡大している。これは主に、業界を覆っているハイブリッド環境とマルチクラウド環境の管理の複雑さと困難さの増大によるものだ。これらすべては、大規模なデータ漏洩、コンプライアンス問題、規制上の罰金という形で、ビジネスに重大な影響をもたらします。
もちろん、悪いニュースばかりではない。金融サービス企業が信頼できるパートナーと協力することで、APIに対する脅威からよりよく身を守ることができる。適切な信頼できるパートナーがAPIセキュリティの向上に役立つ5つの分野を見てみよう。
- 開発: 開発チームは厳しい課題に直面している。一方では、必要な機能を開発し、それを機能させるために厳しい締め切りに直面します。一方では、セキュリティチームによって定義された要件に照らしてAPIを開発します。しかし、これらの要件を強制したり、何らかの方法でチェックしたりする実際の方法はありません。もちろん、コードを監査し、レビューすることはできるが、これは面倒で時間のかかるプロセスであり、人為的なミスや見落としが起こりやすい。また、このプロセスは、多くの場合、他の最優先事項の後回しにされる。通常、ほとんどの企業では、開発者の数がセキュリティ専門家の数を大きく上回っているため、規模の問題が生じる。その結果、バグ、見落とし、脆弱性が開発プロセスを通り抜け、本番APIに入り込んでしまう。自動化だけが、セキュリティ管理の規模を拡大し、セキュリティチームが邪魔になったり、ビジネスが要求するペースが遅くなったりしないようにするのに役立ちます。信頼できるパートナーと協力して、スキーマ、標準、ポリシーを自動的に実施することが、より良い方法である。
- アクセス・コントロール:信じられないかもしれませんが、誰がAPIにどのようなアクセス権を持つかをコントロールすることは、いまだに課題となっています。現代のビジネスの複雑さを考えれば、これはそれほど難しいことではないかもしれません。ほとんどのビジネスでは、2つ以上のクラウドプロバイダーがあり、さらにオンプレミスやデータセンターの環境もあります。一般的に、複数のチームがこれらの異種ロケーションのそれぞれでネットワーキング、テクノロジー、開発、セキュリティ・スタックを管理する必要がある。したがって、APIへのアクセスを制御(および監視)することが深刻な課題となっているのは驚くことではない。実際、2023年のOWASP API Security Top 10のうち4つが認証/認可に関連している。適切な信頼できるプロバイダーは、複雑さをシンプルにし、圧倒されるような状況を穏やかにすることができる。これにより、企業は適切なアクセス制御を含め、これらの環境の運用、維持、セキュリティ確保に完全に集中することができる。
- 不正なAPI:時には、正式なプロセスに時間がかかり、開発者は開発期限に間に合わせるために新しいインフラストラクチャとエンドポイントを立ち上げることがあります。あるいは、インフラストラクチャとエンドポイントが隙間に入り込み、適切にインベントリ化、管理、監視、およびセキュリティ保護されなかったのかもしれません。理由の如何に関わらず、不正なAPIは存在する。APIが知られていない場合、そのAPIをインベントリ化し、管理し、監視し、保護することはできない。信頼できる優れたパートナーは、ビジネスが未知のAPIを検出するだけでなく、APIを保護する手助けをしてくれる。
- WAFだけでは不十分: Webアプリケーションファイアウォール(WAF)がセキュリティスタックに不可欠な要素であることは間違いありません。WAFは、さまざまな脅威に対する重要な保護を提供します。しかし、WAFは毎日APIに投げかけられるあらゆる種類の攻撃に対して万能であることを意図したものではない。さらに、APIは急速に進化しており、それは、セキュリティ制御が見えないかもしれない全く新しいクラスの脆弱性を取り込んでいることを意味する。WAFと統合の上に、APIの脆弱性を特定し緩和するための洗練された機能を提供しない限り、信頼できるパートナーの提供は完全ではありません。
- 洗練された攻撃:アプリケーションが既知の一般的な攻撃の標的になる時代は終わりました。洗練された攻撃者は、レーダーをかいくぐって巧妙な攻撃を仕掛け、機密性の高いビジネス フローを暴露し、データを抜き取り、不正行為を引き起こし、アプリケーションをダウンさせ、評判を落とします。これには手動攻撃と自動(ボット)攻撃の両方が含まれます。このような巧妙な攻撃を特定、検出、緩和するには、専門的なノウハウが必要です。最も高度な攻撃に対する防御は、信頼できるパートナーが提供するAPIセキュリティの一部であるべきだ。
もちろん、これは網羅的なリストではない。各金融サービス組織は、どのリスクや脅威が事業に最も大きな影響を与えそうかを理解するために、リスク登録簿を見直すべきである。より深刻な影響を与えそうなものには、より高い優先順位を与えることができる。しかし、多くのリーダーは、APIセキュリティリスクの真の程度を最も効果的に評価する方法を知らない可能性があることに注意することが重要である。そのため、適切なパートナーとの連携がより重要になる。APIセキュリティに関連するリスクは、理想的にはかなり上位に位置するはずであり、投資に値する優先的なトピックとなる。これには、APIセキュリティの重要性を理解し、適切なソリューションを提供する適切なパートナーと協力することが含まれる。
