F5のAPIセキュリティ対策ソリューション

APIセキュリティの脅威・被害事例

APIは、近年、どのようなセキュリティ上の脅威があるのか、主なものをご紹介します。

認証情報の窃取

APIは、その仕組み上、認証を必要とします。外部のアプリケーションと接続する際に、当然ながら不正なものと接続してしまっては困るからです。そこで、認証の仕組みが用いられています。認証方式は複数あり、手続きの流れや必要な情報、強度が異なります。代表的なものにID・パスワード認証である「Basic認証」や、ユーザー認証後に発行されるアクセストークンを受け取って、APIのリクエスト時に送信するアクセストークンを用いる「Bearer認証」、あらかじめ発行した「キー」を送信して照会する「APIキー認証」などがあります。これらのID・パスワードやアクセストークンなどの認証情報を何らかの形で盗み取られると、API連携している別のアプリケーションにも簡単にアクセスされてしまいます。
例えば、金融サービスのAPI認証情報が傍受され、ユーザー情報が盗み見られ、金銭的被害を受けるケースもあります。実際、SNSのアクセストークンが大量に盗まれた事例などもあります。

インジェクション攻撃

APIセキュリティにおけるインジェクション攻撃は、主にWeb APIのプログラムのパラメーターに不正なパラメーターを送り込むことで、任意のコマンドやコードを実行することで不正に操作する方法です。実際に、データベース上のデータの搾取を行ったり、サーバのリソースを浪費させてサービス停止に追い込んだりする攻撃例があります。

DoS攻撃とDDoS攻撃

DoS攻撃やDDoS攻撃により、サーバーダウンによるサービス停止、連携している別のサービスのサーバへの被害により、甚大なコスト的被害を受けることもあります。DoS攻撃とDDoS攻撃とは、どちらもサーバに過剰なアクセスやデータを送付する攻撃手法です。DoS攻撃が単一コンピューターからの攻撃であるのに対し、DDoS攻撃は複数のコンピューターを踏み台にした攻撃です。

APIセキュリティ脅威に対する対応策

APIセキュリティ脅威に対する一般的に行われている主な対応策をご紹介します。

アクセストークンによるアクセス制御

API認証の際に、IDとパスワードに加えて、アクセストークンを要求することで、アクセスを制御する方法です。「OAuth（オーオース）2.0」などが代表的な認証方式です。

暗号化通信と電子署名の使用

安全性の高い通信を行うプロトコルであるTLSを用いて、データを暗号化しながら、電子署名を要求するように設定する方法です。

FAPIへの準拠

FAPIとは、Financial-grade APIの略で、金融関連のAPI向けのセキュリティ標準であり、これに準拠することで高度なセキュリティ対策が可能です。アクセストークンの暗号化や生体認証などの高度な認証の導入などを含みます。近年は金融業界のAPIセキュリティにおいて先述のOAuth 2.0とFAPIへの準拠が望ましいとされています。

脆弱性への対策

API開発・設計の際にセキュリティに関する穴がなかったかを調査し、脆弱性が見つかれば穴を塞ぐ対策を行います。

なぜ、F5のAPIセキュリティ対策ソリューションなのか

F5ソリューションは、あらゆるクラウド、アーキテクチャ、開発フレームワークに対して効果的で一貫したセキュリティを提供し、企業ポートフォリオ全体にわたってAPIを保護します。

これらのソリューションを導入することで、APIを積極的に発見して保護し、デジタルイノベーションを支援しながらリスク管理を改善するというポジティブなAPIセキュリティモデルを浸透させることができます。

F5 Securityは、セルフマネージドソリューション、クラウドで提供されるas-a-Service型ぷらっとフォーム、24時間365日のSOC監視によりセキュリティおよび不正対策チームを拡張するマネージドサービスなど、ビジネスの潜在力を最大限に引き出すために必要なフォームファクタで実行されます。