APIを継続的に検出、監視、保護する方法

今日のデジタル環境において、API は最新のapplicationsのバックボーンであり、サービス間の統合とデータ交換を可能にします。 組織が機能を強化し、革新的なソリューションを提供するために API にますます依存するようになるにつれて、保護されていない API に関連するリスクは飛躍的に増大しています。 サイバー犯罪者は、重要なビジネス機能を可能にし、組織へのゲートウェイとして機能するこれらのエンドポイントを積極的に標的とし、脆弱性を悪用して機密データにアクセスし、サービスを妨害し、ビジネス ロジックを悪用して詐欺行為を行い、サービス拒否 (DoS)、インジェクション、その他の脅威を含む攻撃を実行します。

デジタル資産を保護し、顧客の信頼を維持するために、組織は API 保護を優先する必要があります。 API に強力なセキュリティ対策を実装すると、拡大する脅威の表面に対するリスクが軽減されるだけでなく、規制対象の業界におけるコンプライアンスも確保されます。 API セキュリティは、組織のデジタル サービス、インフラストラクチャ、顧客エクスペリエンス全体の回復力を促進します。

API セキュリティ ソリューションには、ボットやその他の脅威に対する検出、脆弱性の検出、監視、リアルタイムの軽減が含まれている必要があります。 インライン強制は重要です。 組織が開発を中断して API コードのすべての脆弱性を直ちに修正したり、コードが完成するまでコードリリースの流れを停止したりすることを期待するのは合理的ではありません。 ここで、インライン API 検出および保護機能が役立ちます。 

強力な API セキュリティ スタックは、包括的な保護を確保するために、複数層の強制および制御メカニズムに依存しています。 OWASP API セキュリティ トップ 10 では、API が遭遇するさまざまな脆弱性やセキュリティ リスクなど、幅広い脅威に焦点を当てています。 これには、データの漏洩や窃取を試みる攻撃、リソースを消費または悪用する攻撃 (DoS 攻撃など) のほか、標準的なインジェクションの試み、アクセスと認証のギャップ、セキュリティの誤った構成などが含まれます。 これらのエクスプロイトと API の固有の特性により、自動化された攻撃や悪意のある行為者の主な標的となる重要なエンドポイントが公開され、重要なシステムや機密データへの不正アクセスのリスクが増大するため、専門的な検出と保護が必要となります。 複雑な認証および承認メカニズムは、適切に実施され、一貫して監視されていない場合、セキュリティ リスクをさらに高める可能性があります。 さらに、API は動的なビジネス ロジックを処理し、サードパーティのサービスと統合することが多いため、API 特有のさまざまな脅威や悪用から防御するための追加のセキュリティ対策が必要になります。

F5® 分散クラウド API セキュリティを使用すると、組織は API エンドポイントのセキュリティ維持を目的とした強力な一連の適用機能にアクセスできます。 分散クラウド API セキュリティは、グローバル API 検出とインライン検出、および Web アプリと API 保護 (WAAP) の適用機能を組み合わせます。 API は、SQL インジェクションやコマンド インジェクションなどのインジェクション欠陥を含め、サポートするapplicationsと同じ種類のインジェクション攻撃の影響を受けます。 このため、従来の Webapplicationファイアウォール (WAF) 機能は、最新のアプリとそれを駆動する API の保護において依然として重要な役割を果たしています。 F5 分散クラウド サービスは、F5 のコア WAF を搭載しており、CVE (共通脆弱性識別子) の 8,500 を超えるシグネチャと、F5 Labs によって特定された既知の脆弱性および手法を含む強力な攻撃シグネチャ エンジンを備えており、認識された脅威に対する API 保護の強力なベースラインを形成します。

他のネットワークやコンピューティング リソースと同様に、API は悪用や DoS 攻撃の影響を受けやすいです。 F5 分散クラウド サービスは、Webapplicationsと API のサービス可用性を維持するためのレイヤー 7 DoS 保護とレート制限機能を提供します。 組織は、API エンドポイントの接続とリクエストのレートを正確に制御し、特定のクライアントと接続を完全に識別、監視、ブロックしたり、カスタマイズされたしきい値を適用したりできます。 API 接続とリクエストのこのきめ細かな制御は、個々の API レベルまたはドメイン全体で適用できます。

ボットと自動トラフィックを軽減することは、包括的な APIセキュリティ戦略の重要な要素です。 分散クラウド サービスを使用すると、組織は自動化された脅威に対する強力な保護を提供する F5 分散クラウド ボット防御にアクセスできるようになります。 攻撃者はボットを使用して、OWASP API セキュリティの脆弱性トップ 10 のうち 3 つ (認証の破損、リソースの無制限の消費、機密ビジネス フローへの無制限のアクセス) を直接悪用します。 上位 10 リストのその他の 7 つの項目 (セキュリティ構成の誤り、不適切な在庫管理、認証の不備などの脆弱性を含む) は、ボットと間接的に関連しています。攻撃者はボットを利用してこれらの脆弱性を効果的に発見し、迅速に悪用します。 ログイン、チェックアウト、クレジットカードの検証、予約などの多くの API エンドポイントは、特にボットに対して脆弱です。

さらに、分散クラウド サービスは、高度な機械学習 (ML) と動作分析を提供し、API エンドポイントを継続的に追跡および監視します。 この機能により、組織は API の動作のベースライン設定、認証ステータスの検証、および API の使用状況の経時的な視覚化が可能になり、通信パターンの検出と正常な動作と異常の相関関係の検出が効率化されます。 API が進化するにつれて、このアプローチは組織が API 通信内での機密データや個人識別情報 (PII) の漏洩など、疑わしいアクティビティを特定して対処するのに役立ちます。

機密データは、API 内で知らないうちに、または不注意に公開または送信されることが多いため、潜在的な PII やその他の機密データが危険にさらされる可能性のある Web アプリと API エンドポイントを特定して、データを保護し、潜在的な侵害を防ぐことが不可欠です。 分散クラウド API セキュリティにより、組織は API ランドスケープを制御し、Web アプリや API を通じて公開される可能性のある機密データを可視化できます。

組織は機密データ ポリシーを簡単に構成して、API 内で公開されている重要なデータを検出、タグ付け、レポートできます。 これには、一般的な PII データ (クレジットカード番号、住所、電子メール アドレス、電話番号など) を識別するための基本ポリシー、20 を超える重要なコンプライアンス フレームワーク (PCI-DSS、HIPAA、GDPR、SOC2 など) に関連する数百の定義済みデータ タイプに適用できる特定のコンプライアンス フレームワーク、さらには特定の組織に固有のカスタム機密データも含まれます。 このサービスは、コード リポジトリとトラフィックの分析から直接組織の API を自動的に検出して文書化し、個々の API ごとに各エンドポイントの詳細な可視性を提供します。

組織が API を活用した最新のapplicationsを導入するにつれて、より多くのエンドポイントが公開され、サイバー脅威に対する脆弱性が高まり、強力な API 保護の必要性が強調されます。 API は、データ交換、サービスの有効化、トランザクション実行のための重要な経路として機能するため、サイバー犯罪者の主な標的となります。 組織が機能強化や業務の効率化のために API にますます依存するようになるにつれ、保護されていない API に関連するリスクが急増しています。 脆弱性は、不正アクセス、データ侵害、サービスの中断につながり、最終的には機密情報が漏洩し、顧客の信頼が損なわれる可能性があります。 認証メカニズムの複雑さと API の動的な性質により、従来のセキュリティ対策では不十分であることが多く、特別な保護が必要になります。

分散クラウド API セキュリティはまさにこれを提供します。つまり、組織が堅牢な API 保護を実装してこれらのリスクを軽減し、最新のデジタル インフラストラクチャとエコシステム内で回復力を高めるために必要なプラットフォームとツールです。 API 保護を優先することで、企業は進化する脅威に対する防御を強化し、サービスとデータの整合性を確保し、イノベーションのペースに影響を与えることなく業界規制へのコンプライアンスを維持できます。これにより、急速に進化するデジタル エコシステムにおいて、新しい最新アプリの潜在能力を安全に最大限に引き出すことができます。

API 保護を優先することで、企業は進化する脅威に対する防御を強化し、サービスとデータの整合性を確保し、イノベーションのペースに影響を与えることなく業界規制へのコンプライアンスを維持できます。

インタラクティブなデモを試すか、Web サイトをご覧ください。

インタラクティブデモ ›

Webサイト >