API(アプリケーションプログラミングインターフェース)は、異なるアプリケーションやソフトウェアシステム、コンポーネントが相互にやり取りするための一連のプロトコルやルーチン、ツールです。 APIは、分散したプラットフォーム上でアプリケーション、サービス、システム、データをつなぐ役割を担い、現代のデジタルインフラストラクチャでますます重要な存在になっています。
APIは今日のデジタル環境において非常に重要な基盤です。多くの組織は、アプリケーション設計をAPIから始めるAPIファーストのアプローチを採っています。これは、モノリシックなコードを優先し、API設計を後回しにするか、場合によっては行わない従来の「コードファースト」とは対照的です。
APIが急速に増えているのは明らかです。 現在、平均的な組織はデジタル インフラストラクチャ内で400以上のAPIを管理しており、68%の組織がAPIを使ってアプリの配信とセキュリティを管理しています。 多くの組織はAPIの拡散がリスクになることを理解しています。 58%の組織がAPIの拡散を大きな課題だと捉えています。 APIが広く普及することで攻撃対象領域が増え、マルチクラウド環境での相互依存が予期せぬ脅威をもたらすからです。
APIは脆弱性の悪用、自動化された攻撃、サービス妨害、設定ミス、認証や認可の突破などのリスクにさらされています。 重要なビジネスロジックや機密情報を扱うAPIには強固なAPIセキュリティを施し、不正アクセスや操作、情報漏洩からユーザーデータや認証情報、金融取引を守り、APIの信頼性と稼働を確実に保ちます。
このブログでは、APIに対する主なセキュリティ脅威の概要と、マルチクラウド環境でAPIを守るためのアクセス管理、入力検証と出力管理、APIテスト、監視などの重要なセキュリティ戦略とベストプラクティスをチェックリスト形式でご紹介します。 さらに、従うべき主要なAPIセキュリティ標準や、あなたの重要なAPIを守るための推奨ツールも取り上げています。
アクセス制御とは、どのユーザーに特定のリソースへの権限を付与するかを体系的に決定し、実行するプロセスです。 このプロセスは認証と承認の両面を含みます。 認証はユーザーの身元を確認する手続きであり、承認は認証済みユーザーに与えるアクセス権の範囲を決定します。
APIのセキュリティ強化のためのアクセス制御チェックリストの主な提案をご紹介します。
APIの入力検証で悪意あるAPIリクエストをブロックし、出力管理で機密データの漏えいを防ぐことでデータ損失を防ぎます。
APIセキュリティを強化するための入出力チェックリストの主な提案をご紹介します。
APIは動的でしばしば更新や新機能の追加があるため、APIセキュリティテストを初期導入時だけでなく継続して行う必要があります。 また、攻撃者が絶えず新手法を開発するため、脅威の状況も常に進化しています。
APIセキュリティテストのチェックリストにおいて、以下のポイントを重視してください。
API モニタリングは脅威をリアルタイムで検知し、異常を見つけるための「正常」状態の基準を築くために不可欠です。 継続的なモニタリングによって、トラフィックの急増や繰り返されるログイン失敗、エンドポイントの異常な使われ方など、攻撃の兆候となる異常パターンを素早く察知できます。
API監視のチェックリストには、次の項目を必ず含めてください。
Open Worldwide Application Security Project(OWASP)と米国国立標準技術研究所(NIST)はどちらも、サイバーセキュリティの最適な実践方法を公開しています。
APIファースト設計とAPIの急増によって、包括的なWebアプリケーションおよびAPI保護(WAAP)ソリューションがAPI資産を確実に守る力になります。 WAAPは全体的なセキュリティを実現し、Webアプリケーションファイアウォール(WAF)、API検出と保護サービス、DDoS軽減、ボット管理を単一のソリューションに統合します。
WAAPの主なメリットは次のとおりです。
F5はWebアプリケーションおよびAPI保護(WAAP)ソリューションの一環としてAPIセキュリティを提供し、複雑なハイブリッドおよびマルチクラウドのファブリック環境全体でAPIを守りながら、複雑さを抑えて運用効率を高めます。 F5のWAAPソリューションは、APIの構築からテスト、リリース、運用、監視に至るまで、そのライフサイクル全体を包括的に保護します。
F5 の WAAP ソリューションは、ウェブアプリや API を支える重要なビジネスロジックを絶えず防御し、リスクを軽減してデジタルの回復力を高めます。 API を動的に検出し継続的に監視、脅威を見抜くことで、API の可視性を包括的に提供し、重要な制御と実施メカニズムでエンドポイントを守ります。 F5 の WAAP ソリューションは、オンプレミス、クラウド、サービス型など、あらゆる環境に柔軟に導入できます。