最近のGoogle Cloudの調査レポートによると、調査対象の組織の半数が過去12ヶ月間にAPIセキュリティのインシデントを経験しています。APIを介したアカウント乗っ取り攻撃の増加は、ビジネスリスクを増大させ、収益の損失や顧客信頼の損失につながり、製品リリースに責任を負うアプリケーションチームにストレスを与え、配信、展開、およびメンテナンスプロセスを妨害します。
組織がAPIベースのセキュリティインシデントの現実に取り組む中で、多くの組織が、オペレーショナルなワークフローを破壊せずに脅威に先んじるための簡単で実用的なアプローチを求めています。「私たちは、APIトラフィックを分析し、ボットや悪用を検出し、詐欺やデータの盗難につながる可能性のある不正なアクセスを防止するためにどのような手順を踏んでいますか?」という問いを立て、確認することが重要です。
最近、いくつかのアプリ開発者やセキュリティ専門家が、F5とGoogle Cloudと共に、アプリケーションの多数のAPIを通じて混乱を引き起こすアカウント乗っ取りの脅威に焦点を当てた対話を行いました。
このウェビナー—アカウント乗っ取りの脅威を防ぐ – APIセキュリティの対話に参加する—は、これらのAPIセキュリティの課題に成功裏に対処するためにDevOpsとInfoSecチームが力を合わせるのを支援するように設計されています。議題には以下が含まれています:
· APIを標的とする現在の脅威ランドスケープ
· なぜ従来のボット検出技術が効果を失ったのか
· 潜在的なブランドと評判の損傷を緩和する方法
もしライブセッションに参加できなかった場合でも心配しないでください。このブログポストでハイライトの一部を読むことができ、またオンデマンドの録画にアクセスすることができます。
会話が進むにつれて、パネルメンバーは、APIがセキュリティリスクを生み出す方法と、組織がAPIベースのアカウント乗っ取りを防ぐために何ができるか実行可能な対策を共有しました。彼らは、デジタル攻撃面が現在のところ使用されている多数のAPIのために指数関数的に拡大しており、多くの組織が効果的な保護に必要な可視性を欠いていると強調しました。適切な可視性を得るために、私たちの専門家は、組織が以下の質問に答えることを奨励しました:
· 私たちの環境にどのようなAPIが存在しますか?
· それらのAPIでアクセスできるリソースは何ですか?
· 誰がそれらのAPIを利用していますか?
· それらのAPIによってさらされている特定のビジネスの脆弱性は何ですか?
APIを介したサイバー脅威と戦うために、組織は、悪意のある行為者がユーザーアカウントを乗っ取る試みが成功する前に、DevOps、InfoSec、およびビジネスチームが保護策を実装するための最善の方法を見つけ出さなければなりません。効果的なサイバーセキュリティプログラムには、適切なツールとインテリジェンス、強力なクロスファンクショナルな計画、効果的なチームの協力、進捗と姿勢の評価が必要であり、ストラテジーがどのように機能しているかについてのリーダーシップと組織全体への正直な報告の自信が必要です。
防御を向上させるために、専門家は、アプリケーションの開発と配信中に保護を追加し、配信後にリアルタイムでモニタリングを組み込むことをお勧めしています。これにより、何か悪いことが起こる前にチームが迅速に対応することができます。この包括的で多層化されたアプローチにより、マルチクラウドネットワークトラフィックと分散アプリケーションおよびAPIデータのミックスをスケーラブルにキャプチャし、自動的に良い振る舞いと活動と悪い振る舞いを区別できます。
最終的に、APIセキュリティはできる限り最高の可視性を得ることと、それぞれのシナリオを適切に処理するためのリアルタイムのランタイムインテリジェンスが重要です。
ウェビナーでの議論は、多くのDevOpsおよびInfoSecの専門家がすでにAPIセキュリティの重要性を理解し、顧客エクスペリエンスの摩擦をなくす価値と、自動化されたボットによるアカウント乗っ取りからの高度な保護とのバランスの重要性を認識していることを強調しました。しかし、認識は存在しているものの、多くの人々はこれらの課題に取り組むための効果的でスケーラブルな方法を見つけるのに苦労しています。
これらの困難に対処するために、パネルは、組織が期待するアプリ駆動型成長を保護する責任のある主要な関係者とのコミュニケーションのためのベストプラクティスを示すいくつかのユースケースと事例を紹介しました。これらの戦術には、次のような戦略的でターゲットに向けられた質問をすることが含まれます:
アプリケーション開発:現在、どのようにAPIをアカウント乗っ取り攻撃から保護していますか?APIが顧客データを公開したりコンプライアンスリスクを作成しないようにどのようにしていますか?
セキュリティオペレーション:どのアカウントが脆弱性を持つ可能性があるかを完全に把握していますか?APIトラフィックを悪用したり侵害されたりする兆候を監視できますか?
ネットワークオペレーション:ネットワークインフラ全体でAPIトラフィックをどのように保護していますか?悪意のあるボットやスクリプトがAPIを悪用することに関して懸念がありますか?
ビジネス管理:アカウントセキュリティは、顧客信頼を維持し、詐欺取引からの収益損失を防ぐために重要です。侵害に関するどのようなメトリクスを追跡していますか?
ほとんどのAPI駆動の脅威は今や自動化され、環境の動的な変化に迅速に適応し、保護を迂回し、検出を回避するためにさらに賢く進化しています。効果的なAPIセキュリティは、組織が連続的なインテグレーション/連続的なデリバリー(CI/CD)パイプライン、オペレーション、インフラストラクチャ、およびワークフローに高度な自動化された保護を統合する能力に依存していますが、このプロセスやユーザーエクスペリエンスに摩擦は生じません。
Google CloudとF5は、データセンター、クラウド、アーキテクチャのすべての環境で統一された方法でアカウント乗っ取り詐欺と戦うためのソリューションと専門知識を持っています。リアルタイムのランタイムAPI保護は、DevOpsとInfoSecチームが次のことを容易に行えるようにします:
· アプリケーションにマップされたエンドポイントを自動的に検出する
· 不要な接続のための許可リストまたは拒否リストを定義して適用する
· ネットワーク、デバイス、および環境のテレメトリを分析する
· リアルタイムで異常な振る舞いを検出する
私たちは、ウェビナー「アカウント乗っ取りの脅威を防ぐ – APIセキュリティの対話に参加する」のオンデマンド録画をご覧いただき、自分自身のアカウント乗っ取り保護対策に関する多くの疑問に答える方法を見つけることができると確信しています。
追加の質問がある場合は、お気軽にフォローアップの会話をご希望ください。F5 Distributed CloudチームのAPI保護の専門家の一人に連絡してください。また、こちらのF5 Distributed Cloud Web App and API Protection(WAAP)シミュレータをお試しください:https://simulator.f5.com/s/waap
参照: 1 Google Cloud、2022 APIセキュリティ調査レポート:最新の洞察と主要トレンド、2022"