BLOG | NGINX

高度なセキュリティ機能でAPIの保護を強化する

NGINX-Part-of-F5-horiz-black-type-RGB
Karthik Krishnaswamy サムネール
Karthik Krishnaswamy
Published August 09, 2021

あなたがテックニュースサイトを見ていると、頻繁に「今日もまた、新たなセキュリティ侵害が発生した」といったニュースを目にすることが多いでしょう。それはますます増えており、さらに最近では、APIへの攻撃という形でのセキュリティ侵害が増えています。あるセキュリティ研究者が、エクササイズバイクのベンダーであるPeloton社のAPIが、認証されていないリクエストに応じてユーザの個人アカウントデータを配信していたことを発見しました。

F5の「2021年のアプリケーション戦略の状況」レポートでは、回答者の58%がアプリケーションを近代化するためにAPIのレイヤーを構築していると答えています。また、DevOps、クラウド、マイクロサービスの導入により、アプリケーションとそれを支えるAPIの環境も多様かつ分散環境を超えてサポートする必要が生じています。以下は、分散環境の一例です。

  • オンプレミス、クラウド、ハイブリッド環境
  • 開発、テスト、ステージング、サンドボックス、および本番環境
  • 開発者間のコラボレーションを促進し、データサイロを解消する内部API
  • 顧客、パートナー、サードパーティの開発者に公開される外部API

APIゲートウェイは、リクエストをルーティングしたり、APIクライアントを認証したり、レート制限を適用してAPIベースのサービスを過負荷から保護したりすることで、APIトラフィックを仲介します。NGINXユーザの多くは、上記のような分散環境でAPIゲートウェイとしてNGINXを導入することに成功しています。そして次の段階として、APIは昨今新たな攻撃ベクトルとして注目されているため、早急にセキュリティ対策も必要であるということが現れています。F5の「2021年のアプリケーション戦略の状況」によると、APIインシデントの約3分の2は、APIが十分な保護がなく自由に利用できるものとして公開していたために発生していると報告されています。

NGINX Controller API Management Moduleは、APIを保護するための以下のようなさまざまな仕組みを提供します。

  • レート制限:レート制限ポリシーは、APIゲートウェイが一定期間に各APIクライアントから受け入れるリクエストの数に制限を設けることで、APIが処理不能に陥ったりしないように保護し、DDoS攻撃を軽減します。これは、WASP API Security Top 10 2019のLack of Resources and Rate Limiting (API4)の脆弱性に対応するのに役立ちます。
  • 認証とアクセス許可:認証とアクセス許可のメカニズムは、正しいアクセス権限を持つクライアントのみがAPIにアクセスできることを保証します。そのメカニズムの1つは、JSON Web Tokens(JWT)の要求です。これは、OWASP API Security Top 10 2019の3つの脆弱性(Broken Object Level Authorization (API1)、Broken User Authentication (API2)、Broken Function Level Authorization (API5))への対応に役立ちます。

API ManagementのためのNGINX Controller App Security Add On機能のご紹介

NGINX Controller API Management Module用のNGINX Controller App Securityアドオンモジュールにより、APIのセキュリティをさらに強化することができます。

あらゆる環境に対応する分散型APIセキュリティ

Controller App Securityにより、マルチクラウドの分散環境でAPIを保護するWebアプリケーション ファイアウォール(WAF)を導入できるようになりました。このアドオンにより、パブリッククラウド、プライベートクラウド、ベアメタル、VM、コンテナなど、あらゆる場所に展開されたNGINX APIゲートウェイに強力なセキュリティをシームレスに統合することができます。

Controller App Securityは、NGINXのコアバリューであるプラットフォームに依存せず、軽量、かつハイパフォーマンスを実現しています。どのようにしてハイパフォーマンスを実現しているのでしょうか? WAFはNGINX APIゲートウェイと同一インスタンスで動作するため、APIトラフィックのホップが1つ減り、レイテンシーと複雑さの両方が軽減されています。これは、WAFと統合されていない一般的なAPI管理ソリューションとは全く対照的です。WAFを個別に導入する必要があり、一度設定したAPIトラフィックはWAFとAPIゲートウェイを別々に通過しなければなりません。Controller App Securityでは、WAFとAPIゲートウェイ機能が緊密に統合されているためセキュリティを損なうことなく高いパフォーマンスを実現可能です。

F5の長年の実績あるセキュリティテクノロジーをベースにしたController App Securityは、OWASP API Security Top 10の脆弱性だけでなく、SQLインジェクションやリモートコマンド実行(RCE)などの一般的な脆弱性に対しても、即座に対応し保護することができます。このアドオンは、不正なクッキー、JSON、XMLをチェックし、許可されたファイルタイプと応答ステータスコードを検証します。また、HTTP RFCへの準拠を確認し、攻撃を隠すために使用される回避技術を検出します。

可視性と分析の強化

Controller App Securityは、さまざまなタイプの攻撃について、さまざまな指標や判断に役立つ情報を提供します。これには、WAFで防御すべき主要な脅威、標的となるAPI、誤検知の調査に関するシグネチャの情報、WAFの制御に関する統計情報、WAFポリシーに違反したイベント情報などが含まれます。これらの詳細なレベルの情報は、OWASP API Security Top 10 2019のInsufficient Logging & Monitoringの脆弱性(API10)に対応するのに役立ちます。

以下のスクリーンショットは、追跡できるメトリクスの一部を示しています。

  • 前日の同時間帯と比較した、過去3時間の特定の違反タイプの数

  • 過去3時間にAPIトラフィックに適用されたエンフォースメントモード

  • 過去6時間に発生した攻撃の種類

  • 過去30分以内に発生したセキュリティイベントのログ

柔軟で調整可能なポリシー

Controller App Securityは、セキュリティポリシーを柔軟かつ詳細に制御できます。このスクリーンショットに示されているように、ブロックモードと監視のみの実施モードの両方を設定することができます。後者のモードでは、悪意のあるトラフィックはログに記録されますが、APIサーバーに転送されます。また、デフォルトのシグネチャを無効にして、誤検知を減らすこともできます。

このスクリーンショットでは、最も多くのAPIコールをブロックしているシグネチャのリストが表示されます。この情報は、誤検知を減らすためにチューニングが必要なシグネチャの優先順位を決めるのに利用できます。

DevOpsに適したAPIセキュリティ

Controller App Securityは、セルフサービスを可能にし、セキュリティチームとDevOpsチームの間の運用上のボトルネックを取り除くことで、DevOpsを強化し、自動化をサポートし、CI/CDパイプラインにWAFをネイティブに統合します。これらの機能は、開発者やDevOpsチームがCI/CDパイプラインに統合することで、ソフトウェア開発サイクルの早い段階(特にテストフェーズ)でセキュリティを適用するという、シフトレフトのムーブメントを促進します。APIセキュリティは後付けではなく、API開発プロセスの不可欠な要素として扱われ、その結果、本番での問題が少なくなります。

NGINX Controller App Security for API Managementを試してみませんか?30日間の無料トライアルはこちらからダウンロードください。または、APIセキュリティのニーズについてその他ご質問あればお問い合わせください。

>APIとは?定義やできること、セキュリティ対策まで解説


"This blog post may reference products that are no longer available and/or no longer supported. For the most current information about available F5 NGINX products and solutions, explore our NGINX product family. NGINX is now part of F5. All previous NGINX.com links will redirect to similar NGINX content on F5.com."