APIセキュリティのベスト プラクティスのトップ3

身の危険を感じていますか?目に見えない脅威を克服する方法をご紹介します。

  • Share to Facebook
  • Share to Twitter
  • Share to Linkedin
  • Share via AddThis

はじめに

企業が新しいデジタル経済で成功を収めるためには、単なる現状維持は許されません。従来のセキュリティ管理は、静的で柔軟性に欠けていました。これらは、APIがあらゆる場所に存在するようになるはるか前、APIが今日のデジタル エクスペリエンスの基礎となる前に、クライアント/サーバー通信を使用し、ユーザーの行動とトラフィック フローを予測できた時代に設計されたものです。

ゼロ トラスト、最小権限アクセス、認証/認可の原則を浸透させてセキュリティをモダナイズする努力は成功しましたが、状況は変化しています。御社のデジタル資産を横断して取引することで御社に利益をもたらすアプリケーション ゲームのプレイヤーは、もはや従来の意味でのユーザーではありません。この場合の「ユーザー」はAPIからのビジネス ロジックの呼び出しであることが増え、それらの呼び出しは顧客や見込み客に加え、パートナーやアグリゲータからのものである場合もあります。また、APIが重要であることは、攻撃者にとっても大きな標的であることを意味します。

企業が生き残るには、APIを保護し、常に変化する分散型のデジタル構造で発生する意図しない不測のリスクを緩和する必要があります。企業は生き残るために、複数の主要分野で戦略的な取り組みに集中し、予測可能でスケーラブルな自己防衛型のAPIセキュリティ プラットフォームを構築しなければなりません。

従来のセキュリティと最新のセキュリティ

従来のセキュリティ管理は、企業秘密や顧客データを保護するために世界中の企業で広く導入され、使用されています。企業は、暗号化/復号化システムを使用して機密情報へのアクセスを制限することで、プライバシーを確保し、データ盗難を防止しています。レート制限などのセキュリティ管理は、リクエストの数と頻度を通常の予想されるトラフィック ベースラインに制限することで、サービス拒否(DoS)攻撃の防止と、Webスクレイピングの軽減を可能にします。さらに、多くの企業はWeb Application Firewall(WAF)、静的コード解析、動的アプリケーション セキュリティ テストなどのセキュリティ ツールを組み合わせて使用することで、OWASP Top 10に挙げられているような一般的な脅威の多くを軽減しています。

しかし、今日のデジタル環境においては、従来のセキュリティ対策では不十分です。そのため、多くの企業が、認証、認可、トラフィック検査などの最新のセキュリティ管理を分散型アプリケーションに導入しています。

企業は、多要素認証、公開鍵証明書、生体認証などの方法を使用して人とデバイスを認識し、正当なユーザーと信頼できるマシンだけがデータにアクセスできるようにしています。認証とは、単に認証されたユーザーに適切な権限を付与することであり、認証されたユーザーは業務に必要なすべてのファイルやデータにアクセスできますが、関係のない他の情報を見ることはできません。トラフィック検査を行うことで、アプリケーションのトラフィックを検査し、異常なアクティビティや潜在的な脅威を特定し、アカウンティングやインシデント対応に必要なインサイトを得ることができるため、リスクを最小限に抑えることができます。

このような管理は広く導入され、セキュリティ チームやリスク チームには十分に理解されていますが、大量のデジタル タッチ ポイントへの導入は重要な課題となっています。

適応型セキュリティへの進化

セキュリティにおけるIDと検証の重要性はさらに増しています。企業は、ゼロ トラストや最小権限アクセスなどの手法を利用してセキュリティの厳密性を高め、ユーザーもデバイスもデフォルトでは信頼しません。そして多くの場合、事前に設定したユース ケース モデルによって、必要最低限の情報のみにアクセスを制限しています。また、悪意のあるユーザーからの潜在的な脅威を示す不審な行動を検知する行動分析や、脅威のレベルが高まると認証プロセスをより厳格にするリスクベースの管理などの手法も利用しています。

 

   

図1:インターネットは、私たちを取り巻く世界をつなぎ、現代の生活様式を支えている。

 

しかし、企業は今日、複雑で相互に接続されたアーキテクチャを運用しており、認証や認可などのセキュリティ ポリシーを一貫して適用することが難しくなっています。IT部門はツールの乱立と異機種環境の管理という課題に追われており、「ユーザー」はもはや人間ではなくAPIや、サービス、機械であると言えそうです。アーキテクチャの複雑さと相互接続は増す一方であり、リスク管理のパラダイム シフトを必要としています。必要なのは、人工知能(AI)と機械学習(ML)を組み合わせたクロス プラットフォームの可視化であり、これが実現すれば、企業はデータのインサイトを大規模に関連付けることができるようになります。

   図2:WAFは時代とともに進化した戦略的なセキュリティ管理である。

プラットフォームアイコン

「クロスプラットフォーム アプリケーション技術により、企業は進化し続ける市場の予期せぬ変化に十分に対応できるようになります。」1

適応型のIDに基づくセキュリティ

中核となるクロスプラットフォーム アプリケーション サービスのセットとポジティブな運用モデルは、あらゆるセキュリティ プラットフォームに必須であり、特にAPIの保護においては不可欠です。これらの主要なアプリケーション サービスには、ゼロ トラストのリスクベース管理と、マイクロセグメンテーション(データ センターやクラウド環境内でサービスとアクセスを分離すること)が含まれる場合もあります。もう1つの主要なテナントであるネイティブな多層防御は、プラットフォーム全体にセキュリティ管理層を何層も施し、単一のセキュリティ管理層では貪欲な攻撃者を抑止できない場合でも回復力を確保します。

名前空間を強力に分離することでリソースを隔離してセキュリティを強化し、機密管理により、最新のアーキテクチャで一般的になりつつあるマシン間通信のセキュリティ ポリシーを一貫して適用します。

 

  図3:クロスプラットフォーム アプリケーション サービスの一部として機能する認証と認可のID権限。

ポジティブ セキュリティ運用モデルを採用することで、新しいAPIエンドポイントを動的に検出し、AI/MLベースの異常検知でそれらを自動的に保護し、アプリケーションのライフサイクルを通じてポリシーを一貫して適用できるようになるため、高度に分散し相互接続されたアーキテクチャがもたらす意図しない副作用とリスクを低減することができます。

基盤となるインフラストラクチャやAPIが存在する場所に関わらず、これらのサービスを一貫して提供できるようにプラットフォームを拡張できるため、セキュリティ チームは、多くのエコシステムに関連する動的なアプリケーション リリース サイクルの中でセキュリティ ポリシーを維持するという日々の戦術的な課題に煩わされることなく、戦略的なリスク管理に注力できるようになるでしょう。

   図4:ポジティブ セキュリティ運用モデルにより、自動的な保護と適応型の防御が可能になる。

identity-base-security

「IDベースのセキュリティを採用する企業は、リスクとパフォーマンスのバランスを効率的にとりながら、脅威を状況に応じて管理し、モダナイズを進めることができるようになります。」1

APIセキュリティのベスト プラクティスのトップ3

企業が新しいデジタル経済で成功を収めるためには、自社のセキュリティ チームとリスク チームが次の3つの分野での戦略的な取り組みに集中し、予測可能でスケーラブルな自己防衛型のAPIセキュリティ プラットフォームを構築する必要があります。

1. IDベースのセキュリティ

適応型のIDベースのセキュリティへの進化。

2. クロスプラットフォーム サービス

一貫性、可観測性、実用的なインサイトを確保するためのクロスプラットフォーム アプリケーション サービスの導入。

3. 自動的な保護

AI/MLを活用した継続的かつ自動的な保護

詳しくは、次のEブックをお読みください:「APIセキュリティのベスト プラクティス:API保護の主な検討事項」

 

 

 

12022年版アプリケーション戦略状況

さらに詳しく

Eブック

Eブック

APIセキュリティのベスト プラクティス:API保護の主な検討事項

サードパーティとの統合が多く、常に変化するアプリケーションのライフサイクルにおいてAPIを適切に保護するには、既存のセキュリティ管理では不十分である理由をご説明します。

Eブックを読む ›

Eブック

ブログ

2022年版アプリケーション戦略状況:ビジネスの将来は適応性にかかっている

企業がどのようにデジタル ビジネスの応答性を高め、現在と将来にわたって、その顧客、パートナー、従業員に対するサービスを向上させているかをご紹介します。

ブログを読む ›

シミュレーション

シミュレーション

F5 Distributed Cloud WAAPシミュレータ ハブ:API保護

F5 Distributed Cloud WAAPの詳細については、F5のシミュレータ ハブをご覧ください。

仕組みを見る ›

FORRESTERレポート

FORRESTERレポート

APIの危険性:ソフトウェアに潜む脅威

ソフトウェアのライフサイクルを通じた、APIセキュリティの徹底した設計と構築。

レポートを見る ›