アプリや API のセキュリティに関しては、実稼働環境になってから脆弱性を発見するのは、侵入があった後にホーム セキュリティ システムをインストールするのと同じで、手遅れです。 この原則は、当社の API セキュリティ サービスへのアプローチの中心となります。
だからこそ、F5 チームは、F5application配信およびセキュリティ プラットフォームの一部であるF5 分散クラウド API セキュリティサービスの新しい API テスト機能を導入することに興奮しています。 この機能により、セキュリティ チームは、攻撃者が脆弱性を悪用する前に積極的に脆弱性を特定することで、開発プロセスの早い段階で潜在的な問題を把握できるようになります。 これは、今日の進化する脅威の状況において API セキュリティ体制を強化したいと考えている組織にとって、画期的な製品です。
applicationプログラミング インターフェイス (API) は、デジタル ビジネスのバックボーンとなっています。 これらは、applicationsを接続し、デジタル エクスペリエンスを実現し、イノベーションを推進します。 しかし、この接続には大きなリスクが伴います。 2025 F5 のapplication戦略の現状レポートによると、組織の 58% が API の拡散が大きな問題点であり、管理が複雑になり、機密データを含む重要なサービスやビジネス資産がますます危険にさらされる可能性があると認識しています。
今日、ほとんどの組織は API セキュリティに対して事後対応的に取り組んでいます。 彼らは本番環境のトラフィックを監視し、攻撃を示唆する可能性のある疑わしいパターンや動作を特定しようとします。 このアプローチは必要ですが、それだけでは十分ではありません。
私たちが最初に認識した課題の 1 つは、各セキュリティ テストをコンテキスト認識型かつターゲット型にする方法を理解することでした。 まず各エンドポイントのロジックと機能を理解し、それぞれのAPIに適した具体的なテストを実行できるようにする必要がありました。各APIには、その目的と実装に基づいて固有の脆弱性が存在するため、このレベルのカスタマイズは不可欠です。
その結果、新しい API テスト機能が生まれ、セキュリティ チームは実稼働前の API エンドポイントに対してターゲットを絞ったテストを実行できるようになりました。 展開前に脆弱性を特定することで、組織は実稼働環境で悪用される前に問題を修正できます。
私たちの経験を通じて得られたもう 1 つの洞察は、API テスト ツールを実際に誰が使用しているかを理解することでした。 当初は DevOps チームと開発者を対象としていましたが、セキュリティ運用 (SecOps) と開発セキュリティ運用 (DevSecOps) の専門家が主なユーザーであることがわかりました。 この認識が私たちのアプローチを形作りました。
過剰な構成と細分化によってソリューションを過度に複雑化することは、最善の策ではないことがわかりました。 セキュリティ チームには、強力でありながら簡単なソリューションが必要です。つまり、大規模なトレーニングやセットアップを必要とせずに、既存のワークフローに簡単に統合できるソリューションです。
当社のソリューションは、認証の破損、承認の欠落、その他の重大な脆弱性のチェックなど、 Open Web Application Security Project (OWASP) API Security Top 10に準拠した高度なテストを実行します。 ただし、これはセキュリティ チームにとってアクセスしやすく、実行可能な方法で実行されます。
API セキュリティの経済的影響は重大です。 IBM のデータ侵害コストレポートによると、2024 年のデータ侵害の平均コストは世界全体で 488 万ドルに達し、前年比 10% 増加しました。 同じ調査によると、セキュリティチームが侵害を特定して封じ込めるまでにかかった平均時間は 258 日でした。
この長い検出期間により、攻撃者が機密データやシステムにアクセスできる脆弱性の期間が延長されます。 特に API の場合、貴重なデータやビジネス機能に直接アクセスするため、影響はさらに深刻になる可能性があります。 プロアクティブな API テストを実装することで、組織は本番環境で悪用される前に脆弱性を特定して修正できます。 この予防的アプローチは、コストのかかる侵害を防ぐだけでなく、脆弱性が悪用された後に対処した場合に比べて、修復にかかる時間と労力を大幅に削減します。
私たちが得た最も重要な洞察は、プロアクティブなテストやランタイム監視だけでは、堅牢な API セキュリティを実現できないということかもしれません。 組織には、脆弱性を早期に特定するためのテストと、未知の脆弱性を悪用する攻撃を検出するための監視の両方が必要です。
API 攻撃が進化し続け、その影響が深刻化しているため、この階層化アプローチは非常に重要です。 Gartner によれば、API 侵害によって漏洩するデータは平均的なセキュリティ侵害の 10 倍以上になるそうです。これは、組織が 1 つの防御ラインだけに頼ることができない理由を浮き彫りにする厳しい統計です。 攻撃が巧妙化し、潜在的な被害が拡大するにつれ、予防的なテストと積極的な監視の両方の必要性がこれまで以上に明らかになっています。 API がapplicationsとサービス間の結合組織を形成する今日のデジタル経済では、プロアクティブなセキュリティ テストは単なるベスト プラクティスではなく、ビジネス上の必須事項です。 脆弱性が悪用される前に特定して対処することで、組織は最も価値のあるデジタル資産を保護しながら、顧客が期待するシームレスなエクスペリエンスを提供できます。
当社の包括的な F5 分散クラウド API セキュリティ ソリューションの詳細については、こちらをご覧ください。