絶え間なく拡大するエンドポイントや統合による API の乱立により、セキュリティチームが手作業で重要なビジネスロジックを特定し、保護することは現実的ではなくなっている。APIは、ハイブリッド環境やマルチクラウド環境など、ますます異種インフラに分散されるようになっており、その結果、重要なビジネスロジックが一元的なセキュリティ制御の範囲外で公開されるようになっている。さらに、アプリケーション開発チームは技術革新のために迅速に動くため、APIコールがビジネスロジックの奥深くに隠れてしまい、特定が困難になることがあります。 

イノベーションのスピードを重視するあまり、セキュリティはしばしば置き去りにされる。API自体の設計において、セキュリティが単に見落とされていることもある。多くの場合、セキュリティは考慮されるが、複数のクラウドやアーキテクチャにまたがるアプリケーションのデプロイメントを維持するための微妙な複雑さのために、ポリシーが誤って設定される。 

APIはマシンからマシンへのデータ交換のために設計されているため、多くのAPIは機密データへの直接の経路となり、多くの場合、ユーザー向けWebフォームの入力バリデーションと同様のリスク管理が行われません。しかし、これらのエンドポイントは、ウェブアプリを悩ませるのと同じ攻撃の対象となります。すなわち、脆弱性の悪用、ビジネスロジックの乱用、データ漏洩、ダウンタイム、アカウント乗っ取り（ATO）につながるアクセス制御のバイパスなどです。

APIエンドポイントは、ウェブアプリケーションと同じリスク管理で評価されるべきであるだけでなく、シャドーAPIやゾンビAPIのように、セキュリティチームの権限の及ばないエンドポイントや、実質的に放棄されたエンドポイントからの意図しないリスクを軽減するために、さらなる考慮が必要である。 

API は、ウェブアプリケーションを標的にすることで知られているのと同じ攻撃の多くを受けやすいので、API セキュリティインシデントは、最も有名なデータ侵害の原因の一部となっています。脆弱な認証/認可コントロール、設定ミス、ビジネスロジックの悪用、サーバサイドリクエストフォージェリ（SSRF）などのリスクは、ウェブアプリケーションとAPIの両方に影響を与える。脆弱性の悪用や、ボットや悪意のある自動化による悪用は、最大の懸念事項です：

• インジェクションやクロスサイトスクリプティング（XSS）は、データの不正アクセスにつながる可能性があります。
• 分散型サービス妨害（DDoS）は、重要な収益を生み出すサービスを妨害する可能性があります。
• クレデンシャル・スタッフィングやその他の自動化された攻撃は、侵害、データ漏洩、詐欺につながる可能性があります。

アプリケーションはますます分散化・非中央集権化モデルへと移行し、APIがその相互接続の役割を果たしている。ビジネス価値を高めるモバイル アプリとサード パーティの統合は、オンラインの世界でうまく競争するためのテーブル ステークスになっています。F5 Labs の調査では、より多くの業界が最新のアプリケーションアーキテクチャを採用するにつれ、API がターゲットになりつつあることを詳しく説明しています。

全体的なガバナンス戦略なしにAPIが広く配布されるようになると、リスクは増大する。このリスクは、複雑なサプライチェーンとの統合やCI/CDパイプラインによる自動化によって、アプリケーションとAPIが時間とともに絶えず変化する継続的なアプリケーションライフサイクルプロセスによって悪化する。

多様なインターフェースと潜在的なリスクへの暴露は、セキュリティ・チームがフロント・ドアだけでなく、最新のアプリの構成要素であるすべてのウィンドウを保護する必要があることを意味する。

機械学習の進歩により、APIエンドポイントを動的に発見し、それらの相互依存関係を自動的にマッピングすることが可能になり、API通信パターンを時系列で分析し、リスクを増大させるシャドウAPIや文書化されていないAPIを特定する実用的な方法が提供される。 

さらに、継続的なエンドポイントの監視と分析により、セキュリティ・ベースラインを自律的に構築し、セキュリティ・チームの作業負荷を不必要に増やすことなく、悪意のあるユーザーをリアルタイムで検出、自動リスク・スコアリング、および軽減することができます。

この継続的かつ自動化された保護により、高度に調整されたポリシーが、すべてのAPIのすべてのアーキテクチャに一貫して適用され、エクスプロイトを軽減し、ボットや不正使用を阻止し、スキーマ、プロトコルコンプライアンス、アクセス制御を実施することができます。

企業はレガシーアプリをモダナイズすると同時に、モダンなアーキテクチャとサードパーティの統合を活用して新しいユーザーエクスペリエンスを開発する必要があります。コアからクラウド、エッジまでAPIを保護する全体的なガバナンス戦略は、既知および未知のリスクを低減しながら、デジタルトランスフォーメーションをサポートします。

F5のソリューションは、どのような環境でも運用できる柔軟性を備えています。ユニバーサルな可視性とMLベースの自動化された保護機能により、最大限の効果を発揮し、セキュリティチームの負担を軽減します。F5はピュアプレイ/ニッチソリューションを統合し、ハイブリッドおよびマルチクラウド環境を一貫して保護することで、回復力と修復力を向上させます。

APIセキュリティを導入する際の主な検討事項は以下の通りである：

1. ハイブリッドおよびマルチクラウドのサポート
   ユニバーサルな可視性と一貫したポリシー実施により、複雑さ、ツールの乱立、および設定ミスのリスクを低減し、修復までの速度を向上します。
   
   
2. 既存の開発プロセスとの統合
   セキュリティチームは、ネイティブのterraformレジストリを介してセキュリティポリシーをCI/CDパイプラインに統合することで、アプリケーションのライフサイクルと歩調を合わせることができます。
   
   
3. 積極的なセキュリティ モデル
   F5ソリューションは、OpenAPI定義、Swaggerファイル、およびゼロトラスト原則を使用してスキーマを強制する積極的なセキュリティ モデルでポリシーを合理化します。
   
   
4. 自動化された防御
   MLベースの異常検知は、環境間でのポリシーのチューニングや過剰な誤検知によってセキュリティ チームに負担をかけることなく、脆弱性の悪用、ビジネス ロジックの乱用、およびサービス拒否を修復します。
   
   
5. 豊富な視覚化機能
   API使用状況のベースラインへのドリルダウンをサポートするセキュリティ ダッシュボードは、オペレーターが洞察を関連付け、インシデント対応を簡素化するのに役立ちます。


6. Sセキュリティの回復力
   耐久性のある遠隔測定と高度に訓練された機械学習により、デジタル・ビジネスのスピードに対応し、新たな敵対的AI攻撃を軽減する、より効率的で効果的なセキュリティが可能になります。

F5のソリューションは、クラウドやアーキテクチャにまたがる重要なビジネスロジックやサードパーティの統合を継続的に検出し、自動的に保護することで、企業ポートフォリオ全体のAPIを保護します。 

包括的で一貫性のあるセキュリティポリシーと、MLを活用した弾力的な防御により、企業はAPIセキュリティをデジタル戦略に適合させることができる。これにより、企業はリスク管理を改善し、自信を持ってイノベーションを起こし、業務を合理化することができます。

See F5分散クラウドの実例.