F5のAPIセキュリティ対策ソリューション

セキュアなAPIとサードパーティの統合、デジタルビジネスの基盤となるファブリック継続的な保護を実現。

APIセキュリティとは?重要な理由

APIセキュリティとは?

APIセキュリティとは、APIをサイバー攻撃から守るためのセキュリティ施策です。

APIは「Application Programming Interface(アプリケーションプログラミングインターフェース)」の頭文字をとったもので、ソフトウェアとプログラム、及びアプリケーションが別のアプリケーションとやりとりするための仕組みです。

ソフトウェアやプログラム、アプリケーションにAPIが設計されていれば、外部の何らかのサービスと連携し、その機能を利用することができます。

特にWeb上で実現されるWeb APIの中では、Webサービスで使用しているアカウントを、APIによる認証により、他のWebサービスでも利用できる仕組みがよく利用されています。

このように、APIはアプリケーション等の機能を容易に拡張し、利用の利便性も高めることから近年、活用が進んでいます。一方で、そのAPIならではの脆弱性を狙ったサイバー攻撃が近年、深刻になっています。

APIセキュリティの必要性

サイバー攻撃者は、APIの仕組みを利用してユーザーの認証情報を窃取したり、サービス停止を試みたりします。

APIのセキュリティ対策は手薄になりやすく、盲点になりやすいところがあります。そうした隙を狙って攻撃が仕掛けられるケースは少なくありません。

また、APIの認証・認可における開発の難易度が高いことから、セキュリティまで手が回らず、セキュリティ上の穴が生じやすいという弱点もあります。中にはAPIサーバ特有の脆弱性を狙う攻撃もあります。 そうしたAPIの弱点が近年、狙われるケースが増えていることもあり、APIセキュリティの必要性は高まってきています。

もしAPIがハッキングされた場合、個人情報等の情報漏洩やサービス停止に伴う生産性の大幅な低下、信頼性の低下も含めた甚大な被害につながる可能性があります。

APIセキュリティが重要な理由
APIとサードパーティ統合がビジネスを推進する

APIはデジタル経済の基盤であり、レガシー アプリケーションをモダナイズするための橋渡しや、最先端のデジタル体験の土台となるものです。APIの利用が急増するにつれて、組織がAPIを効果的に管理および制御することはますます難しくなっていきます。このようにAPIによる意図しないリスクは、運用とセキュリティに大きな課題をもたらしています。

無料レポート:APIの危険性:ソフトウェアに潜む脅威 ›

APIセキュリティの脅威・被害事例

APIは、近年、どのようなセキュリティ上の脅威があるのか、主なものをご紹介します。

認証情報の窃取

APIは、その仕組み上、認証を必要とします。外部のアプリケーションと接続する際に、当然ながら不正なものと接続してしまっては困るからです。そこで、認証の仕組みが用いられています。認証方式は複数あり、手続きの流れや必要な情報、強度が異なります。代表的なものにID・パスワード認証である「Basic認証」や、ユーザー認証後に発行されるアクセストークンを受け取って、APIのリクエスト時に送信するアクセストークンを用いる「Bearer認証」、あらかじめ発行した「キー」を送信して照会する「APIキー認証」などがあります。これらのID・パスワードやアクセストークンなどの認証情報を何らかの形で盗み取られると、API連携している別のアプリケーションにも簡単にアクセスされてしまいます。

例えば、金融サービスのAPI認証情報が傍受され、ユーザー情報が盗み見られ、金銭的被害を受けるケースもあります。実際、SNSのアクセストークンが大量に盗まれた事例などもあります。

インジェクション攻撃

APIセキュリティにおけるインジェクション攻撃は、主にWeb APIのプログラムのパラメーターに不正なパラメーターを送り込むことで、任意のコマンドやコードを実行することで不正に操作する方法です。実際に、データベース上のデータの搾取を行ったり、サーバのリソースを浪費させてサービス停止に追い込んだりする攻撃例があります。

DoS攻撃とDDoS攻撃

DoS攻撃やDDoS攻撃により、サーバーダウンによるサービス停止、連携している別のサービスのサーバへの被害により、甚大なコスト的被害を受けることもあります。DoS攻撃とDDoS攻撃とは、どちらもサーバに過剰なアクセスやデータを送付する攻撃手法です。DoS攻撃が単一コンピューターからの攻撃であるのに対し、DDoS攻撃は複数のコンピューターを踏み台にした攻撃です。

APIセキュリティ脅威に対する対応策

APIセキュリティ脅威に対する一般的に行われている主な対応策をご紹介します。

アクセストークンによるアクセス制御

API認証の際に、IDとパスワードに加えて、アクセストークンを要求することで、アクセスを制御する方法です。「OAuth(オーオース)2.0」などが代表的な認証方式です。

暗号化通信と電子署名の使用

安全性の高い通信を行うプロトコルであるTLSを用いて、データを暗号化しながら、電子署名を要求するように設定する方法です。

FAPIへの準拠

FAPIとは、Financial-grade APIの略で、金融関連のAPI向けのセキュリティ標準であり、これに準拠することで高度なセキュリティ対策が可能です。アクセストークンの暗号化や生体認証などの高度な認証の導入などを含みます。近年は金融業界のAPIセキュリティにおいて先述のOAuth 2.0とFAPIへの準拠が望ましいとされています。

脆弱性への対策

API開発・設計の際にセキュリティに関する穴がなかったかを調査し、脆弱性が見つかれば穴を塞ぐ対策を行います。

【無料ダウンロード資料】

分散環境において
WebアプリケーションとAPIを保護する方法

無料ダウンロード資料はこちら
F5

なぜ、F5のAPIセキュリティ対策ソリューションなのか

F5ソリューションは、あらゆるクラウド、アーキテクチャ、開発フレームワークに対して効果的で一貫したセキュリティを提供し、企業ポートフォリオ全体にわたってAPIを保護します。

これらのソリューションを導入することで、APIを継続的に発見して保護し、デジタル イノベーションを支援しながらリスク管理を改善するというポジティブなAPIセキュリティモデルを浸透させることができます。

F5 Securityは、セルフマネージド ソリューション、クラウドで提供されるas-a-Service型プラットフォーム、24時間365日のSOC監視によりセキュリティおよび不正対策チームを拡張するマネージド サービスなど、ビジネスの潜在力を最大限に引き出すために必要なフォーム ファクタで実行されます。

Eブック:APIセキュリティのベストプラクティス ›

F5APIセキュリティソリューションを調べる

SaaS型APIセキュリティ

すべてのアプリケーションおよびAPIのためのクラウドによる保護


クラウドおよびアーキテクチャ全体を通じて追加設定なしで保護を行い、一貫性のあるポリシー適用を提供する効率的かつ運用しやすいセキュリティによって、組織を脆弱性からプロアクティブに保護し、複雑さを緩和して、ビジネスを守ります。

F5 Distributed Cloud Services

クラウドで提供されるas-a-Service型プラットフォームで運用の複雑さを軽減しながら、APIを保護します。

さらに詳しく ›

セルフマネージドAPIセキュリティ

ハードウェアおよびソフトウェアをオンプレミスやクラウドに導入


一連の強力なセキュリティ防御機能を活用しながら、アプリケーションをオンプレミスで、またはプライベート クラウドやパブリック クラウドに導入し、保護することができます。セルフマネージド型WAFでは、従来の3層Webスタックからコンテナまでのあらゆるアプリケーション アーキテクチャをサポートしています。

NGINX App Protect

マイクロサービスベースのアーキテクチャにネイティブに適合するAPIセキュリティによって、アプリケーションのセキュリティを確保します。

さらに詳しく ›

F5 Advanced WAF

データ センタとプライベート/パブリッククラウドにおけるきめ細かいセキュリティ管理により、APIをエクスプロイト、ボット、不正使用から保護します。

さらに詳しく ›

マネージド サービスWAF

進化し続ける脅威からWebアプリケーションとデータを守るクラウドベースのマネージドサービス


F5のセキュリティマネージド サービスは、ビジネスに不可欠なWebアプリケーションを保護し、F5 Security Operations Center(SOC)の24時間365日対応のサポートによって、お客様のセキュリティ チームの活動範囲を広げます。

F5 Silverline

F5 SOCによる24時間365日のサポートで、重要なWebアプリケーションとAPIを保護するために専門チームを関与させます。

さらに詳しく ›

エコシステム統合

ベンダーとツールに安全に接続


ソリューションプロバイダおよびツールを統合し、API駆動型のセキュリティファブリックを構築します。

Pulumi

設定ファイルでオーケストレーションを行う必要がなくなり、真のInfrastructure-as-Codeアプローチで導入を統合できます。

さらに詳しく ›

Curity

個人識別情報を公開することなく、APIアクセスを管理し、アイデンティティパフォーマンスを効率化できます。

さらに詳しく ›

Ping

アイデンティティのセキュリティとエンフォースメントをトラフィックパスから排除し、APIの処理を最高速度に保ちます。

さらに詳しく ›

【無料ダウンロード資料】

分散環境において
WebアプリケーションとAPIを保護する方法

無料ダウンロード資料はこちら
F5

リソース

Distributed Cloud WAAP購入ガイド

記事

Distributed Cloud WAAP購入ガイド

記事を読む ›

実際の事例を使用したAPI Securityのバーチャル ツアーにぜひご参加ください

利用する

実際の事例を使用したAPI Securityのバーチャル ツアーにぜひご参加ください

シミュレータを試す ›

レポート

継続的なAPIスプロール:API駆動型の経済における課題と商機

レポートを読む ›

最適なWAFの選択

Eブック

最適なWAFの選択

Eブックを読む ›

AWSで稼働するKubernetesコンテナのための高度なAPIセキュリティ

記事

AWSで稼働するKubernetesコンテナのための高度なAPIセキュリティ

記事を読む ›

DevOps環境にセキュリティを統合する

記事

DevOps環境にセキュリティを統合する

記事を読む ›

Webセミナー

ビデオ

DoS攻撃でアプリケーションをダウンさせない!

ビデオを見る ›

記事

APIの保護:データとインフラストラクチャの安全性を維持するための10の方法

記事を読む ›

APIセキュリティ関連情報

【サービス】Distributed Cloud API Security

【ソリューション】WAF~APIセキュリティ

【記事】APIセキュリティのベスト プラクティス トップ3をご紹介するインフォグラフィック

【記事】総合的なAPIセキュリティ戦略の6つの原則

【記事】F5、WebアプリケーションとAPI向けの包括的なSaaS型セキュリティを発表

【記事】Securing APIs: 10 Best Practices for Keeping Your Data and Infrastructure Safe

【記事】Advanced API security for Kubernetes containers ru... - DevCentral

【記事】アプリケーション モダナイゼーション戦略ミッションの必須事項

APIセキュリティ関連資料

【ホワイトペーパー】モダンアプリケーションのセキュリティは万全ですか?

【ホワイトペーパー】Forresterレポート:APIセキュリティへの脅威とソリューション

【ホワイトペーパー】APIセキュリティ:API保護の主な検討事項

【ホワイトペーパー】継続的なAPIスプロール:API駆動型の経済における課題と商機

【Eブック】最適なWAFの選択

【シミュレータ】実際の事例を使用したAPI Securityのバーチャル ツアー

次のステップ

利用する

F5 API SecurityをF5 Distributed Cloudシミュレータでお試しください。

お問い合わせ

F5の製品とソリューションが、お客様の目標達成をどのように実現するか、ぜひご覧ください。