セキュアなAPIとサードパーティの統合、デジタルビジネスの基盤となるファブリック継続的な保護を実現。
APIセキュリティとは、APIをサイバー攻撃から守るためのセキュリティ施策です。
APIは「Application Programming Interface(アプリケーションプログラミングインターフェース)」の頭文字をとったもので、ソフトウェアとプログラム、及びアプリケーションが別のアプリケーションとやりとりするための仕組みです。
ソフトウェアやプログラム、アプリケーションにAPIが設計されていれば、外部の何らかのサービスと連携し、その機能を利用することができます。
特にWeb上で実現されるWeb APIの中では、Webサービスで使用しているアカウントを、APIによる認証により、他のWebサービスでも利用できる仕組みがよく利用されています。
このように、APIはアプリケーション等の機能を容易に拡張し、利用の利便性も高めることから近年、活用が進んでいます。一方で、そのAPIならではの脆弱性を狙ったサイバー攻撃が近年、深刻になっています。
サイバー攻撃者は、APIの仕組みを利用してユーザーの認証情報を窃取したり、サービス停止を試みたりします。
APIのセキュリティ対策は手薄になりやすく、盲点になりやすいところがあります。そうした隙を狙って攻撃が仕掛けられるケースは少なくありません。
また、APIの認証・認可における開発の難易度が高いことから、セキュリティまで手が回らず、セキュリティ上の穴が生じやすいという弱点もあります。中にはAPIサーバ特有の脆弱性を狙う攻撃もあります。
そうしたAPIの弱点が近年、狙われるケースが増えていることもあり、APIセキュリティの必要性は高まってきています。
もしAPIがハッキングされた場合、個人情報等の情報漏洩やサービス停止に伴う生産性の大幅な低下、信頼性の低下も含めた甚大な被害につながる可能性があります。
APIはデジタル経済の基盤であり、レガシー アプリケーションをモダナイズするための橋渡しや、最先端のデジタル体験の土台となるものです。APIの利用が急増するにつれて、組織がAPIを効果的に管理および制御することはますます難しくなっていきます。このようにAPIによる意図しないリスクは、運用とセキュリティに大きな課題をもたらしています。
APIは、近年、どのようなセキュリティ上の脅威があるのか、主なものをご紹介します。
APIは、その仕組み上、認証を必要とします。外部のアプリケーションと接続する際に、当然ながら不正なものと接続してしまっては困るからです。そこで、認証の仕組みが用いられています。認証方式は複数あり、手続きの流れや必要な情報、強度が異なります。代表的なものにID・パスワード認証である「Basic認証」や、ユーザー認証後に発行されるアクセストークンを受け取って、APIのリクエスト時に送信するアクセストークンを用いる「Bearer認証」、あらかじめ発行した「キー」を送信して照会する「APIキー認証」などがあります。これらのID・パスワードやアクセストークンなどの認証情報を何らかの形で盗み取られると、API連携している別のアプリケーションにも簡単にアクセスされてしまいます。
例えば、金融サービスのAPI認証情報が傍受され、ユーザー情報が盗み見られ、金銭的被害を受けるケースもあります。実際、SNSのアクセストークンが大量に盗まれた事例などもあります。
APIセキュリティにおけるインジェクション攻撃は、主にWeb APIのプログラムのパラメーターに不正なパラメーターを送り込むことで、任意のコマンドやコードを実行することで不正に操作する方法です。実際に、データベース上のデータの搾取を行ったり、サーバのリソースを浪費させてサービス停止に追い込んだりする攻撃例があります。
DoS攻撃やDDoS攻撃により、サーバーダウンによるサービス停止、連携している別のサービスのサーバへの被害により、甚大なコスト的被害を受けることもあります。DoS攻撃とDDoS攻撃とは、どちらもサーバに過剰なアクセスやデータを送付する攻撃手法です。DoS攻撃が単一コンピューターからの攻撃であるのに対し、DDoS攻撃は複数のコンピューターを踏み台にした攻撃です。
APIセキュリティ脅威に対する一般的に行われている主な対応策をご紹介します。
API認証の際に、IDとパスワードに加えて、アクセストークンを要求することで、アクセスを制御する方法です。「OAuth(オーオース)2.0」などが代表的な認証方式です。
安全性の高い通信を行うプロトコルであるTLSを用いて、データを暗号化しながら、電子署名を要求するように設定する方法です。
FAPIとは、Financial-grade APIの略で、金融関連のAPI向けのセキュリティ標準であり、これに準拠することで高度なセキュリティ対策が可能です。アクセストークンの暗号化や生体認証などの高度な認証の導入などを含みます。近年は金融業界のAPIセキュリティにおいて先述のOAuth 2.0とFAPIへの準拠が望ましいとされています。
API開発・設計の際にセキュリティに関する穴がなかったかを調査し、脆弱性が見つかれば穴を塞ぐ対策を行います。
F5ソリューションは、あらゆるクラウド、アーキテクチャ、開発フレームワークに対して効果的で一貫したセキュリティを提供し、企業ポートフォリオ全体にわたってAPIを保護します。
これらのソリューションを導入することで、APIを積極的に発見して保護し、デジタルイノベーションを支援しながらリスク管理を改善するというポジティブなAPIセキュリティモデルを浸透させることができます。
F5 Securityは、セルフマネージドソリューション、クラウドで提供されるas-a-Service型ぷらっとフォーム、24時間365日のSOC監視によりセキュリティおよび不正対策チームを拡張するマネージドサービスなど、ビジネスの潜在力を最大限に引き出すために必要なフォームファクタで実行されます。
クラウドおよびアーキテクチャ全体を通じて追加設定なしで保護を行い、一貫性のあるポリシー適用を提供する効率的かつ運用しやすいセキュリティによって、組織を脆弱性からプロアクティブに保護し、複雑さを緩和して、ビジネスを守ります。
一連の強力なセキュリティ防御機能を活用しながら、アプリケーションをオンプレミスで、またはプライベート クラウドやパブリック クラウドに導入し、保護することができます。セルフマネージド型WAFでは、従来の3層Webスタックからコンテナまでのあらゆるアプリケーション アーキテクチャをサポートしています。
F5のセキュリティマネージド サービスは、ビジネスに不可欠なWebアプリケーションを保護し、F5 Security Operations Center(SOC)の24時間365日対応のサポートによって、お客様のセキュリティ チームの活動範囲を広げます。