Web アプリと API 保護 (WAAP) ソリューションで解決される最新の API セキュリティ リスクと課題

WAF はAPI セキュリティにとって貴重なツールですが、すべての WAF が同じように作成されているわけではなく、API の保護に関しては制限があるものもあります。 このような制限には次のようなものが含まれます。

• 複雑な API 認証の処理: API では、Web アプリケーションで使用される従来のセッションベースの認証を超える、より複雑な認証メカニズムが採用されることがよくあります。 WAF は、OAuth 2.0、JWT (JSON Web Token)、カスタム トークン ベースの認証などの複雑な認証スキーマの処理に苦労する場合があります。
• プロトコルとペイロードのバリエーションの分析: API は、さまざまなデータ構造とスキーマを持つさまざまなプロトコル (REST、GraphQL、SOAP) とペイロード形式 (JSON、XML) を利用できます。 WAF では、これらのバリエーションの解析と検証のサポートが限られている場合があり、その結果、脅威の検出において可視性が制限され、誤検知や検出漏れが増える可能性があります。
• レート制限: API レート制限は、不正な動作や API リソースの枯渇を防ぐために重要です。 WAF では、API リクエストの動的な性質と、API 固有のパラメータに基づくレート制限の必要性により、API トラフィックを正確にレート制限することが困難になる場合があります。
• API 固有の攻撃に関する洞察: API は、パラメータ汚染、API 固有のインジェクション攻撃、API 悪用シナリオなどの特定の攻撃ベクトルの影響を受けやすくなります。 WAF には、これらの API 固有の攻撃を効果的に検出して軽減するための特殊なルールやヒューリスティックがない場合があります。
• API 管理機能: WAF は主にセキュリティ面に重点を置いており、API ガバナンス、ドキュメント、バージョン管理、開発者ポータル機能に必要な包括的な API 管理機能が不足している可能性があります。

WAF はアプリ セキュリティの要であり、API を保護するための基盤レイヤーであることに変わりはありませんが、他にも必要なものがあることに注意することが重要です。 組織は、コスト、複雑さ、 API を適切に保護する方法に関する誤解や誤解など、さまざまな理由から、さまざまなアプローチを検討し、実装しています。 多くの組織は、既存の WAF を API ゲートウェイで拡張して、使用ポリシーを適用し、アクセスを制御しながら API を作成、管理、公開しています。 これは良い出発点ですが、API セキュリティ体制にはまだ多くのギャップが残っています。

それで、次は何でしょうか? 不明な API やシャドウ API にはどのように対処すればよいでしょうか? きめ細かい API エンドポイント制御についてはどうでしょうか? 必ずしも制御できないサードパーティ API についてはどうでしょうか? 未知のシャドウ API に挑戦してみましょう。 これにより、組織はすべての API ベースをカバーする作業を行う際に、専用の API 検出および脆弱性ツールを探し出して追加することになります。

これがどこに向かっているのか分かりますか? 物事はすぐに非常に複雑になります。 予算、専門知識、リソースを備えた一部の組織では、ベストオブブリードのアプローチを好みますが、ほとんどの組織では、さまざまなソリューションの寄せ集めで API セキュリティの脅威の表面をカバーすることは、複雑さという最大のセキュリティ上の課題を永続させるだけです。 ポイント ソリューションをさらに追加すると、効果的な監視と可視性がかなり困難になるだけでなく、すぐに維持できなくなる可能性があります。

Web アプリと API 保護 (WAAP)ソリューションを導入します。 すでに複雑なアプリ セキュリティ エコシステムに一貫した洞察を結び付けない、おそらく異なるベンダーからの独立したテクノロジーをさらに積み重ねるのはなぜでしょうか? したがって、WAAP 製品への進化 (および開発) が起こります。 最新の WAAP ソリューションは、従来の WAF の機能と、API の監視と保護に不可欠な特殊な機能を組み合わせた、最新のマイクロサービス ベースのマルチクラウドおよびハイブリッド アプリ環境のセキュリティ ニーズに応えるソリューションです。これらすべてが 1 つの統合ソリューション (多くの場合、SaaS として提供) に統合されています。