ソリューション概要
APIとサードパーティ統合を保護する方法
デジタル ビジネスの基盤を保護する
APIは、最新のアプリケーションの基盤です。異種システムの連動を可能にするAPIは、膨大なサードパーティのエコシステムを活用することで、市場投入までの時間を短縮し、より優れたユーザー エクスペリエンスを提供できます。その反面、APIの利用が急増したことで、アーキテクチャが分散化し、未知のリスクがもたらされています。このため、アプリケーションやAPIのセキュリティ確保がさらに難しくなり、攻撃者にとっては非常に魅力的な存在になっています。企業がアプリケーション ポートフォリオをモダナイズし、新たなデジタル経済において革新を続ける中、APIの数は2031年までに10億個に達すると予測されています。
主なメリット
脆弱性や不正使用によるリスクを軽減する高いセキュリティ効果を発揮します。
すべてのアーキテクチャ、クラウド、エッジに対する可視化と制御。
エンドポイントを自動的に保護する動的な検出と異常検出。
APIの課題と潜在的なリスクを理解する
エンドポイントや統合のファブリックの絶え間ない拡大によってAPIが乱立していることから、セキュリティチームが重要なビジネス ロジックを手作業で特定し保護することは現実的ではありません。APIはますます異種混在のインフラストラクチャに分散するようになり、集中的なセキュリティ管理の対象外となっています。さらに、アプリケーション開発チームはイノベーションのために迅速に行動するため、API呼び出しはビジネス ロジックの奥深くに隠されてしまい、特定が困難になる可能性があります。
このようなスピードにより、セキュリティはしばしば置き去りにされます。時には、APIそのものの設計において、セキュリティが単に見落とされていることもあります。多くの場合でセキュリティは考慮されていますが、複数のクラウドとアーキテクチャにまたがるアプリケーションの展開を維持するという微妙な複雑さによって、ポリシーが誤って設定されることがあります。
APIはマシン間でのデータ交換を目的として設計されているため、多くのAPIは機密データへの直接的な経路となり、多くの場合、ユーザー向けWebフォームの入力検証のようなリスク管理は行われません。しかし、これらのエンドポイントは、Webアプリケーションを苦しめるのと同じ攻撃、すなわちデータ漏洩や詐欺行為につながるエクスプロイトや不正使用にさらされる可能性があります。
APIエンドポイントは、Webアプリケーションと同様のリスク管理で評価する必要があるだけでなく、シャドーAPIやサードパーティ統合による意図しないリスクを軽減するために、さらなる考慮が必要です。
APIはWebアプリケーションと同様に攻撃の対象になる
APIは、脆弱性の悪用や、ボットおよび悪意のある自動化による不正使用など、Webアプリケーションを標的とすることが知られているものと同じ多くの攻撃を受けやすいため、APIのセキュリティインシデントは、その中でも非常に注目されるデータ漏洩の原因となっています。
- インジェクションやクロスサイト スクリプティング(XSS)は、データの不正アクセスにつながる可能性があります。
- 分散型サービス拒否(DDoS)は、重要な収益源となるサービスを停止させる可能性があります。
- クレデンシャル スタッフィングやその他の自動化された攻撃は、侵害、データ漏洩、詐欺につながる可能性があります。
APIは設計と実装を通して意図しないリスクをもたらす
アプリケーションはますます分散型モデルに移行し、APIは相互接続の役割を果たすようになりました。ビジネス価値を高めるモバイル アプリケーションとサードパーティ統合は、オンライン界でうまく競争するための重要な手段となっています。F5 Labsの調査によると、APIセキュリティ インシデントの数は年々増加しており、APIが広く使用されているにもかかわらず、APIファーストのアーキテクチャの攻撃対象への影響はまだ広く知られていないようです。
総合的なガバナンス戦略なしにAPIが広く分散するようになると、リスクは増大します。このリスクは、アプリケーションとAPIが時間の経過とともに常に変化する継続的なアプリケーション ライフサイクル プロセスによって、さらに悪化します。
多様なインターフェースと潜在的なリスクにさらされるということは、セキュリティ チームが、玄関のドアだけでなく、すべての窓、つまり最新のアプリケーションのすべての構成要素を保護する必要があることを意味します。
APIセキュリティ ソリューション
機械学習の進歩により、APIエンドポイントを動的に発見し、その相互依存関係を自動的にマッピングすることが可能になりました。それによって、時系列でAPI通信パターンを分析し、リスクを高めるシャドーAPIや文書化されていないAPIを特定する実用的な方法が提供されるようになりました。
さらに、エンドポイントの継続的な監視と分析により、セキュリティ ベースラインを自律的に構築し、脅威や異常な動作を手動で監視することなくリアルタイムに検知して軽減することができます。
この継続的かつ自動化された保護は、すべてのAPIのすべてのアーキテクチャにわたって一貫して適用できる高度に調整されたポリシー、すなわちエクスプロイトの緩和、詐欺につながるボットと不正使用の阻止、スキーマとアクセス制御の実行につながります。
企業は、レガシー アプリケーションをモダナイズすると同時に、最新のアーキテクチャとサードパーティ統合を活用することで新しいユーザー エクスペリエンスを開発する必要があります。コアからクラウド、エッジに至るまでのAPIを保護する総合的なガバナンス戦略は、既知および未知のリスクを低減しながら、デジタル トランスフォーメーションをサポートします。
図1:F5のソリューションは、エンタープライズ アプリケーションのエコシステム全体でAPIを保護します。
主な特長
企業アプリケーションのエコシステム全体からAPIエンドポイントを検出します。 |
機械学習により不審な行動を特定します。 |
OpenAPI仕様からポジティブ セキュリティ モデルを作成し、実施します。
意図しないリスクを軽減しながら、FinTechのイノベーションを安全に取り入れます。
開発フレームワークやセキュリティエコシステムへの統合。
API関係グラフを構築し、エンドポイントメトリクスを評価します。
柔軟なAPIセキュリティパラダイム
F5 Securityは、データ センタやプライベート/パブリッククラウドできめ細かい制御を提供するセルフマネージド ソリューションから、運用しやすい統合セキュリティで複雑さを軽減できるクラウドで提供されるas-a-Service型プラットフォームや、24時間365日のSOC監視によりセキュリティおよび不正対策チームを拡張するマネージド サービスに至るまで、アプリケーション アーキテクチャや運用制御要件に最適なフォーム ファクタで提供されます。
APIセキュリティを導入する際の主な検討事項は以下の通りです。
- 既存の開発プロセスとの統合
セキュリティチームは、CI/CDパイプラインに統合し、シャドーAPIを識別して意図しないリスクを軽減する動的なAPI検出と異常検出を通じて、アプリケーション ライフサイクルに対応することができます。 - マルチクラウドとハイブリッド環境
F5ソリューションは、OpenAPI定義、Swaggerファイル、ゼロトラスト原則を使用して、設定ミスを防ぎ、コアからエッジまで一貫した保護を推進するポジティブ セキュリティモデルでポリシーを合理化します。 - 規制の厳しいビジネスのためのAPI
機密情報の交換を伴うAPIでは、地域の規制や業界の義務に準拠するために追加のセキュリティ管理が必要な場合があります。 - KubernetesおよびLambdaにおけるAPIワークロード
F5のサービス メッシュテクノロジは、APIエンドポイントがKubernetes環境またはAWS Lambdaを通じて展開される場合、APIデリバリ チームが可視性とセキュリティの課題に対処できるよう支援します。 - API Gateway
APIの公開、認証、認可を、マイクロサービスアーキテクチャ内の統合ゲートウェイ機能のための堅牢なAPI保護と結合することができます。
まとめ
F5のソリューションは、企業ポートフォリオ全体のAPIを効果的かつ一貫したセキュリティで保護し、脆弱性の悪用、ボットや不正使用、複数のクラウドやアーキテクチャにまたがるサードパーティ統合によるリスクを軽減します。
一貫したセキュリティ ポリシーでAPIを継続的に発見し保護することで、企業はデジタル イノベーションをサポートしながらリスク管理を改善する、ポジティブなAPIセキュリティ モデルを浸透させることができます。
詳細については、F5の担当者にお問い合わせいただくか、F5のサイトをご覧ください。