記事

総合的なAPIセキュリティ戦略の6つの原則

  • Share to Facebook
  • Share to Twitter
  • Share to Linkedin
  • Share via AddThis

はじめに

UXがアプリケーションの顔であるのに対して、APIは組織のバックボーンとなっています。これまでに多くの企業が陥ってきた共通の間違いは、APIをアプリケーション上にあるインターフェース層としか考えていないことです。この記事では、APIセキュリティに対する総合的かつ包括的なアプローチの6つの原則について説明します。

1. APIとエンドポイントを理解する

環境にあるすべてのAPIエンドポイントをすぐに特定しようとしてもできない可能性は非常に高くなっています。しかし残念ながら、悪意のある攻撃者についても同じことが言えるとは限りません。エンドポイントが存在すれば、侵入経路として使用される可能性があります。

さらに、パブリックAPIを提供すると、無数の顧客、パートナー、アプリケーションからクエリを受ける可能性があります。これによって組織が危険にさらされる可能性もあります。データ漏洩や詐欺につながる攻撃から組織を守るために、検討すべきリスク管理が数多くあります。

2. イノベーションとセキュリティのバランスを取る

このバランスを取ることは、前々から言われてきた葛藤です。一方では、大胆な措置を講じて、境界線を押し広げ、競合他社ができないことをしたいという衝動が、あらゆるビジネスの成功の要となります。しかしもう一方では、セキュリティを維持することが最新のイノベーションと必ずしも相性が良いとは限りません。

レポート

FORRESTERレポート

APIの危険性:ソフトウェアに潜む脅威

この記事で取り上げられているトピックについて詳しく説明しているForresterの最新のレポートをご覧ください。

レポートを見る ›

1. 適切なセキュリティ管理を設定するために、APIのタイプごとにAPIガバナンス戦略を設計します。

2. APIが導入される場所に関わらず一貫して実施可能なAPIセキュリティ ポリシーを実装します。

3. 新たな脅威、異常な行動、APIを悪用しようとする悪意のあるユーザーにAIを使用して適応し、セキュリティ チームの負担を軽減します。

業界によっては、コンプライアンス基準が異なり、より厳しいセキュリティが要求される場合もあります。いずれにせよ、APIのセキュリティ体制は、次々と迫る脅威ベクトルに対処するのに十分なほど堅牢であることが不可欠です。

3. 開発ライフサイクル全体を通じてリスクを管理する

APIのセキュリティ テストは、一回で終わるものではありません。導入前、導入中、そして導入後のテストが重要です。開発のすべての段階にテストを組み込むことによって、データ漏洩が起こる前に、弱点と脆弱性を特定する機会がより多く得られます。セキュリティに特化したテスト ツールは優れています。それと同時に、セキュリティ関連の使用事例のモデリングも優れています。

4. バックエンドからエンド ユーザーまでの層の保護

外部のクライアントから内部のバックエンド インフラストラクチャまで、アーキテクチャのあらゆる部分で独自の保護対策を講じる必要があります。

API層の保護について考える場合、まずAPIを内部と外部の2つのバケットに分類するといいでしょう。内部APIは、APIプロバイダがアプリケーション チームとセキュリティ対策を調整できるため、セキュリティ保護がより簡単です。外部APIの場合、リスク計算が異なります。ですが、うまくいかないというわけではありません。APIレベルの保護では、次の3つの保護策を実装できます(そして実装するべきです)。

1. リアルタイムの脅威インテリジェンスと、堅牢なセッション トークンなどのアクセス制御メカニズムにより、セキュリティ侵害の機会を狭める。

2. ベースラインの正常なトラフィック パターンと異常なトラフィック パターンを確立する。

3. APIの使用を制限し、承認されたアグリゲータをきめ細かく制御する。

実稼働レベルでは、APIスプロールによる膨大なトラフィックにより、異常な動作や悪意のあるユーザーを検出するためにAIを利用する必要があります。

5. 適切な戦略とツールを備える

完全に栄養補給できる食材がないように、APIを完全に保護できるセキュリティ ツールもありません。その代わりに、全体的なセキュリティ アーキテクチャの一部として、包括的なツールのエコシステムを採用する戦略を立てる必要があります。

検討すべきツールとしては、以下が挙げられます。

  • APIゲートウェイ
  • アプリケーション セキュリティ テスト(SASTおよびDAST)
  • WAF
  • ボット管理

さらに、API検出とマイクロセグメンテーションは、重要なエコシステム機能です。

6. 開発およびデプロイメント パイプラインへのセキュリティの統合

APIが使用されるテクノロジ、レイヤ、設計、状況は多様であるため、APIセキュリティが複雑になる可能性があることはお分かりいただけたでしょう。しかし、その複雑さを軽減する方法があります。

APIのセキュリティ対策に取り組む際には、まず一歩下がって全体像を把握することが大切です。

セキュリティは、アプリケーションと同じ継続的なライフサイクルで実行する必要があります。つまり、CI/CDパイプライン、サービス プロビジョニング、イベント監視のエコシステムと緊密に統合する必要があるのです。

さらに、デフォルトの拒否アーキテクチャ、強力な暗号化、最小権限アクセスなど、従来から行われているセキュリティ対策も適用されます。

さらに詳しく

記事

APIの保護:データとインフラストラクチャの安全性を維持するための10のベスト プラクティス

組織がAPIを一般に公開する際には、セキュリティのベスト プラクティスを確立する必要があります。

続きを読む ›

eBook

レポート

継続的なAPIスプロール:API駆動型の経済における課題と商機

より安全な開発とより優れたアプリケーション セキュリティの基盤としてOWASP Top 10を活用する方法をご覧ください。

レポートを見る ›

eBook

Eブック

APIセキュリティ:API保護の主な検討事項

APIが危険にさらされていると感じていますか?目に見えない脅威を克服する方法をご紹介します。

Eブックを読む ›