左にシフト: FinServ API セキュリティのゲームチェンジャー
API は、口座保有者の日常的な取引支払いの処理や、シームレスなオンライン口座開設の促進などのために API に依存している金融サービス組織にとって、これまで以上に重要になっています。
さらに、API を介した FinTech との提携が一般的になり、金融サービス エコシステムが絶えず進化していることから、この分野では API の使用が大幅に増加しています。 その結果、金融サービス機関はこれまで以上に API に依存するようになりました。
しかし、API への依存度の高まりは攻撃者の注目を集めています。
攻撃者は、これらの API が果たす重要な役割を認識し、システムにアクセスして重要なデータを盗み出すために、常に API をターゲットにして、悪用、乱用、侵害しようとしています。 ハイブリッド環境とマルチクラウド環境の複雑さと管理上の課題は、トラフィック ベースの検出と検査に従来のアプリと API のセキュリティ ツールのみに依存していることでさらに複雑になります。このツールでは、API が本番環境に展開された後にのみ部分的な情報しか得られず、API の検出も行われません。
こうしたシナリオは、大規模なデータ侵害、コンプライアンスの問題、高額な規制罰金など、深刻なビジネスリスクをもたらします。 しかし、金融サービス組織は、顧客が迅速な対応、口座全体の表示、簡単な送金を求めているため、これらのリスクを受け入れなければなりません。 内部的には、これらはすべて API を通じて実現されます。
この記事では、ハイブリッドおよびマルチクラウド環境で運用される金融サービスにおけるシフトレフトの変革的利点について詳しく説明し、それが FinServ API セキュリティにおける次の重要なマイルストーンとなる理由を説明します。 コードベースからの早期直接検出、包括的な理解、および予防的なドキュメント化を通じて、組織は防御を強化し、可視性における重大なギャップを埋め、制御を改善し、コンプライアンスと規制当局の要件を満たし、リスクが極めて高い業界における API セキュリティの新しい標準を確立できます。
シフトレフトとは何ですか? また、なぜ重要なのですか?
セキュリティ パラダイムにおける「シフト レフト」という考え方は単なるトレンドではありません。特に API は従来の Web アプリよりも頻繁に変更され、新しいアプリがはるかに速いペースで追加されるため、堅牢な保護とリスク管理を確保するために必要不可欠なものになりつつあります。
簡単に言えば、インライン トラフィック分析などの従来のセキュリティ制御のみに焦点を当てると、組織は攻撃対象領域全体の脆弱性を把握して理解することができなくなります。 これにより組織は脆弱になりますが、盲点が災いを招く可能性がある金融サービス内の API の領域ほどこのことが顕著に表れる場所はありません。 脆弱性や弱点は、本番環境で修正するのが常に困難でコストもかかるため、コードを変更すると追加のリスクが生じる可能性があります。
「シフトレフト」戦略の重要性は、単に新しいテクノロジーを統合するだけにとどまりません。開発サイクルの最初から API セキュリティへのアプローチ方法を根本的に変えることです。
コーディング段階から検出を開始し、ドキュメントの正確性を確保することで、組織は API ランドスケープのより完全な概要を把握できます。 この積極的な姿勢により、運用時の潜在的な脆弱性に関連するルール、制御、ポリシーを通じて、テスト、早期検出、即時解決が可能になります。 これにより、開発者の作業を遅らせることなく、アプリケーションを本番環境に移行する際に強固な基盤が構築されます。 その後、次のリリースまたはバージョンでは、コード レベルで脆弱性に対処する更新されたコードが含まれる可能性があります。 開発者は間違いなく在庫と文書化のプロセスの自動化を採用し、世界を変える可能性のある次のクールな機能に集中できるようになります。
シフトレフト戦略を採用することの主な利点は何ですか?
シフトレフトの視点を採用することの利点は数多くあります。 これにより、チームは、より完全なドキュメントと、テストで特定された脆弱性に対処するための予防的なセキュリティ ポリシーを備え、API をより深く理解し、セキュリティ体制を強化した状態で本番環境に移行できるようになります。 コードからのこの検出は、組織にとっての出発点となり、異常や未知または非推奨のゾンビ API やシャドウ API の検出が容易になり、本番環境に移行した後のドリフトの検出が可能になります。しかも、(本番環境などで)「その場で学習する」必要はありません。
初期文書化なしで洞察をまとめる事後対応型のアプローチと比較して、シフトレフトにより、組織は数歩先を行き、セキュリティの課題に正面から取り組む準備が整います。
その他の利点は次のとおりです:
- 実稼働環境における脆弱性の露出を制限する
- APIのドキュメントと理解の向上
- 安全なコーディング手法を推進し、API コードを継続的に強化/改善する
- 継続的なリスク評価と修復ループを採用することで、ツール統合の課題を軽減します。
シフトレフト戦略における脆弱性の早期検出に考慮すべき新しいツール
アプリケーションと API のセキュリティ ソリューションの管理は、多くの組織にとってすでに困難な作業となっています。 実際、F5 がスポンサーとなった最近の Datos Insightsレポートでは、API セキュリティ分野だけで 80 社を超えるソリューション プロバイダーが活動しており、平均的な組織では 20,000 を超える API が使用されていることがわかりました。
その結果、組織はアプリや API を保護するためにさまざまなベンダーの技術を組み合わせて使用することが多くなり、事実上、API セキュリティがサプライ チェーン セキュリティへと変化しています。 これを念頭に置いて、API セキュリティの「シフトレフト」ソリューションで考慮すべき点をいくつか示します。
- スキャン、偵察、テスト機能によるコードレベルの検出により、コード内のCVEとAPIリスクの早期検出が可能
- 生成型 AI を活用したインテリジェントで自動化されたセキュリティ対応
- 堅牢なAPIスキーマの自動作成と検証
- 実用的なインテリジェンスによる API リスクの洞察力のある解明
- ライフサイクル全体の API セキュリティ - アプリ開発ライフサイクル全体にわたる、アプリと API のセキュリティおよび配信機能の幅広いポートフォリオの一部であるソリューションを活用します。
シフトレフト アプローチの中核となる将来を見据えた戦術により、不一致、シャドー API、その他の問題をより迅速かつ正確に特定できるようになります。 この方法は、ドキュメントを省略したり、最初から包括的な理解が欠如している可能性のあるアドホックなアプローチよりもはるかに優れています。
適切なテクノロジーを導入してシフトレフト戦略を採用すると、セキュリティが強化されるだけでなく、開発ライフサイクル全体が合理化され、アプリケーション チームとリスク チームの両方が勝利を収めることができるため、先進的な金融サービス組織にとって不可欠な実践となります。
シフトレフトが組織にどのように役立つかについて詳しく学びます。
このブログでは、厳選したコンテンツと、他の業界分野に焦点を当てた追加記事を共有しています。