F5 Distributed Cloud ServicesのAPI Securityに API Testing機能が追加されました
Tomonori Takada
はじめに
F5 Distributed Cloud Servicesでは、これまでもAPI Securityを提供してきました。この取り組みは、2024年には、IDC MarketScapeやGigaOm’s Radarで、リーダーとして選出されるなど、外部からも高く評価されています。このたび、従来の提供機能に加え、新たに「API Testing」機能が追加されました。
API Testing機能
F5 Distributed Cloud Servicesが提供するAPI Discovery機能では、「Traffic(通信)」、「Source Code(ソースコード分析)」、「Crawler(外部スキャン)」という3つの情報を分析し、APIエンドポイントを漏れなく検出します。
今回新たに追加されたAPI Testing機能は、API Discovery機能で検出したAPIエンドポイントに対して、実際にリクエストを発行し、能動的なテストを実施するものです。従来からAPI Discoveryも脆弱性の検知は可能でしたが、API Testingを用いることにより実際のテストリクエストを送信し、さらに幅広くかつ詳細に脆弱性を検知できるようになります。また、API Discovery機能から得られたメタ情報に基づきテストが実施されるため、各APIエンドポイントの特性に合った効果的なテストを実行できるようになっています。
これにより、開発者およびシステム担当者は、開発環境の段階から容易にAPIの脆弱性を検出し、あらかじめ修正を行うことができます。また、修正後には本番環境へのリリース前に再度API Testing機能を活用することで、より安全かつ包括的なAPIライフサイクルを築くことが可能となります。
以下は、API Testingによって検出された脆弱性を示すポータル画面の例です。
API Testing機能は、API Discovery機能の一部として提供されているため、F5 Distributed Cloud ServicesのBase Packageの無料枠にてお試しいただけます。