F5のAPIセキュリティ対策ソリューション
セキュアなAPIとサードパーティの統合、デジタルビジネスの基盤となるファブリック継続的な保護を実現。
APIセキュリティとは?重要な理由
APIセキュリティとは?
APIセキュリティとは、APIをサイバー攻撃から守るためのセキュリティ施策です。
APIは「Application Programming Interface(アプリケーションプログラミングインターフェース)」の頭文字をとったもので、ソフトウェアとプログラム、及びアプリケーションが別のアプリケーションとやりとりするための仕組みです。
ソフトウェアやプログラム、アプリケーションにAPIが設計されていれば、外部の何らかのサービスと連携し、その機能を利用することができます。
特にWeb上で実現されるWeb APIの中では、Webサービスで使用しているアカウントを、APIによる認証により、他のWebサービスでも利用できる仕組みがよく利用されています。
このように、APIはアプリケーション等の機能を容易に拡張し、利用の利便性も高めることから近年、活用が進んでいます。一方で、そのAPIならではの脆弱性を狙ったサイバー攻撃が近年、深刻になっています。
APIセキュリティの必要性
サイバー攻撃者は、APIの仕組みを利用してユーザーの認証情報を窃取したり、サービス停止を試みたりします。
APIのセキュリティ対策は手薄になりやすく、盲点になりやすいところがあります。そうした隙を狙って攻撃が仕掛けられるケースは少なくありません。
また、APIの認証・認可における開発の難易度が高いことから、セキュリティまで手が回らず、セキュリティ上の穴が生じやすいという弱点もあります。中にはAPIサーバ特有の脆弱性を狙う攻撃もあります。 そうしたAPIの弱点が近年、狙われるケースが増えていることもあり、APIセキュリティの必要性は高まってきています。
もしAPIがハッキングされた場合、個人情報等の情報漏洩やサービス停止に伴う生産性の大幅な低下、信頼性の低下も含めた甚大な被害につながる可能性があります。
APIセキュリティが重要な理由
APIとサードパーティ統合がビジネスを推進する
APIはデジタル経済の基盤であり、レガシー アプリケーションをモダナイズするための橋渡しや、最先端のデジタル体験の土台となるものです。APIの利用が急増するにつれて、組織がAPIを効果的に管理および制御することはますます難しくなっていきます。このようにAPIによる意図しないリスクは、運用とセキュリティに大きな課題をもたらしています。
APIセキュリティの脅威・被害事例
APIは、近年、どのようなセキュリティ上の脅威があるのか、主なものをご紹介します。
認証情報の窃取
APIは、その仕組み上、認証を必要とします。外部のアプリケーションと接続する際に、当然ながら不正なものと接続してしまっては困るからです。そこで、認証の仕組みが用いられています。認証方式は複数あり、手続きの流れや必要な情報、強度が異なります。代表的なものにID・パスワード認証である「Basic認証」や、ユーザー認証後に発行されるアクセストークンを受け取って、APIのリクエスト時に送信するアクセストークンを用いる「Bearer認証」、あらかじめ発行した「キー」を送信して照会する「APIキー認証」などがあります。これらのID・パスワードやアクセストークンなどの認証情報を何らかの形で盗み取られると、API連携している別のアプリケーションにも簡単にアクセスされてしまいます。
例えば、金融サービスのAPI認証情報が傍受され、ユーザー情報が盗み見られ、金銭的被害を受けるケースもあります。実際、SNSのアクセストークンが大量に盗まれた事例などもあります。
インジェクション攻撃
APIセキュリティにおけるインジェクション攻撃は、主にWeb APIのプログラムのパラメーターに不正なパラメーターを送り込むことで、任意のコマンドやコードを実行することで不正に操作する方法です。実際に、データベース上のデータの搾取を行ったり、サーバのリソースを浪費させてサービス停止に追い込んだりする攻撃例があります。
DoS攻撃とDDoS攻撃
DoS攻撃やDDoS攻撃により、サーバーダウンによるサービス停止、連携している別のサービスのサーバへの被害により、甚大なコスト的被害を受けることもあります。DoS攻撃とDDoS攻撃とは、どちらもサーバに過剰なアクセスやデータを送付する攻撃手法です。DoS攻撃が単一コンピューターからの攻撃であるのに対し、DDoS攻撃は複数のコンピューターを踏み台にした攻撃です。
APIセキュリティ脅威に対する対応策
APIセキュリティ脅威に対する一般的に行われている主な対応策をご紹介します。
アクセストークンによるアクセス制御
API認証の際に、IDとパスワードに加えて、アクセストークンを要求することで、アクセスを制御する方法です。「OAuth(オーオース)2.0」などが代表的な認証方式です。
暗号化通信と電子署名の使用
安全性の高い通信を行うプロトコルであるTLSを用いて、データを暗号化しながら、電子署名を要求するように設定する方法です。
FAPIへの準拠
FAPIとは、Financial-grade APIの略で、金融関連のAPI向けのセキュリティ標準であり、これに準拠することで高度なセキュリティ対策が可能です。アクセストークンの暗号化や生体認証などの高度な認証の導入などを含みます。近年は金融業界のAPIセキュリティにおいて先述のOAuth 2.0とFAPIへの準拠が望ましいとされています。
脆弱性への対策
API開発・設計の際にセキュリティに関する穴がなかったかを調査し、脆弱性が見つかれば穴を塞ぐ対策を行います。
なぜ、F5のAPIセキュリティ対策ソリューションなのか
F5ソリューションは、あらゆるクラウド、アーキテクチャ、開発フレームワークに対して効果的で一貫したセキュリティを提供し、企業ポートフォリオ全体にわたってAPIを保護します。
これらのソリューションを導入することで、APIを継続的に発見して保護し、デジタル イノベーションを支援しながらリスク管理を改善するというポジティブなAPIセキュリティモデルを浸透させることができます。
F5 Securityは、セルフマネージド ソリューション、クラウドで提供されるas-a-Service型プラットフォーム、24時間365日のSOC監視によりセキュリティおよび不正対策チームを拡張するマネージド サービスなど、ビジネスの潜在力を最大限に引き出すために必要なフォーム ファクタで実行されます。
F5APIセキュリティソリューションを調べる
SaaS型APIセキュリティ
すべてのアプリケーションおよびAPIのためのクラウドによる保護
クラウドおよびアーキテクチャ全体を通じて追加設定なしで保護を行い、一貫性のあるポリシー適用を提供する効率的かつ運用しやすいセキュリティによって、組織を脆弱性からプロアクティブに保護し、複雑さを緩和して、ビジネスを守ります。
セルフマネージドAPIセキュリティ
ハードウェアおよびソフトウェアをオンプレミスやクラウドに導入
一連の強力なセキュリティ防御機能を活用しながら、アプリケーションをオンプレミスで、またはプライベート クラウドやパブリック クラウドに導入し、保護することができます。セルフマネージド型WAFでは、従来の3層Webスタックからコンテナまでのあらゆるアプリケーション アーキテクチャをサポートしています。
マネージド サービスWAF
進化し続ける脅威からWebアプリケーションとデータを守るクラウドベースのマネージドサービス
F5のセキュリティマネージド サービスは、ビジネスに不可欠なWebアプリケーションを保護し、F5 Security Operations Center(SOC)の24時間365日対応のサポートによって、お客様のセキュリティ チームの活動範囲を広げます。
リソース
APIセキュリティ関連情報
【サービス】Distributed Cloud API Security
【ソリューション】WAF~APIセキュリティ
【記事】APIセキュリティのベスト プラクティス トップ3をご紹介するインフォグラフィック
【記事】総合的なAPIセキュリティ戦略の6つの原則
【記事】F5、WebアプリケーションとAPI向けの包括的なSaaS型セキュリティを発表
【記事】Securing APIs: 10 Best Practices for Keeping Your Data and Infrastructure Safe
【記事】Advanced API security for Kubernetes containers ru... - DevCentral
