はじめに
環境にあるすべてのAPIエンドポイントをすぐに特定しようとしてもできない可能性は非常に高くなっています。しかし残念ながら、悪意のある攻撃者についても同じことが言えるとは限りません。エンドポイントが存在すれば、侵入経路として使用される可能性があります。
さらに、パブリックAPIを提供すると、無数の顧客、パートナー、アプリケーションからクエリを受ける可能性があります。これによって組織が危険にさらされる可能性もあります。データ漏洩や詐欺につながる攻撃から組織を守るために、検討すべきリスク管理が数多くあります。
このバランスを取ることは、前々から言われてきた葛藤です。一方では、大胆な措置を講じて、境界線を押し広げ、競合他社ができないことをしたいという衝動が、あらゆるビジネスの成功の要となります。しかしもう一方では、セキュリティを維持することが最新のイノベーションと必ずしも相性が良いとは限りません。
FORRESTERレポート
APIの危険性:ソフトウェアに潜む脅威
この記事で取り上げられているトピックについて詳しく説明しているForresterの最新のレポートをご覧ください。
1. 適切なセキュリティ管理を設定するために、APIのタイプごとにAPIガバナンス戦略を設計します。
2. APIが導入される場所に関わらず一貫して実施可能なAPIセキュリティ ポリシーを実装します。
3. 新たな脅威、異常な行動、APIを悪用しようとする悪意のあるユーザーにAIを使用して適応し、セキュリティ チームの負担を軽減します。
業界によっては、コンプライアンス基準が異なり、より厳しいセキュリティが要求される場合もあります。いずれにせよ、APIのセキュリティ体制は、次々と迫る脅威ベクトルに対処するのに十分なほど堅牢であることが不可欠です。
APIのセキュリティ テストは、一回で終わるものではありません。導入前、導入中、そして導入後のテストが重要です。開発のすべての段階にテストを組み込むことによって、データ漏洩が起こる前に、弱点と脆弱性を特定する機会がより多く得られます。セキュリティに特化したテスト ツールは優れています。それと同時に、セキュリティ関連の使用事例のモデリングも優れています。
外部のクライアントから内部のバックエンド インフラストラクチャまで、アーキテクチャのあらゆる部分で独自の保護対策を講じる必要があります。 |
API層の保護について考える場合、まずAPIを内部と外部の2つのバケットに分類するといいでしょう。内部APIは、APIプロバイダがアプリケーション チームとセキュリティ対策を調整できるため、セキュリティ保護がより簡単です。外部APIの場合、リスク計算が異なります。ですが、うまくいかないというわけではありません。APIレベルの保護では、次の3つの保護策を実装できます(そして実装するべきです)。
1. リアルタイムの脅威インテリジェンスと、堅牢なセッション トークンなどのアクセス制御メカニズムにより、セキュリティ侵害の機会を狭める。
2. ベースラインの正常なトラフィック パターンと異常なトラフィック パターンを確立する。
3. APIの使用を制限し、承認されたアグリゲータをきめ細かく制御する。
実稼働レベルでは、APIスプロールによる膨大なトラフィックにより、異常な動作や悪意のあるユーザーを検出するためにAIを利用する必要があります。
完全に栄養補給できる食材がないように、APIを完全に保護できるセキュリティ ツールもありません。その代わりに、全体的なセキュリティ アーキテクチャの一部として、包括的なツールのエコシステムを採用する戦略を立てる必要があります。
検討すべきツールとしては、以下が挙げられます。
さらに、API検出とマイクロセグメンテーションは、重要なエコシステム機能です。
APIが使用されるテクノロジ、レイヤ、設計、状況は多様であるため、APIセキュリティが複雑になる可能性があることはお分かりいただけたでしょう。しかし、その複雑さを軽減する方法があります。
APIのセキュリティ対策に取り組む際には、まず一歩下がって全体像を把握することが大切です。
セキュリティは、アプリケーションと同じ継続的なライフサイクルで実行する必要があります。つまり、CI/CDパイプライン、サービス プロビジョニング、イベント監視のエコシステムと緊密に統合する必要があるのです。
さらに、デフォルトの拒否アーキテクチャ、強力な暗号化、最小権限アクセスなど、従来から行われているセキュリティ対策も適用されます。
記事
APIの保護:データとインフラストラクチャの安全性を維持するための10のベスト プラクティス
組織がAPIを一般に公開する際には、セキュリティのベスト プラクティスを確立する必要があります。
レポート
継続的なAPIスプロール:API駆動型の経済における課題と商機
より安全な開発とより優れたアプリケーション セキュリティの基盤としてOWASP Top 10を活用する方法をご覧ください。