ブログ

GIS および政府機関向けの強力な API を保護するためにシフト レフトする

チャド・デイビス サムネイル
チャド・デイビス
2024年8月14日公開

今日のデジタル時代において、地理情報システム (GIS) は州政府や地方自治体にとって欠かせないツールとなっています。 都市計画から緊急管理まで、GIS アプリケーションは業務の効率化、意思決定の改善、公共サービスの強化に役立ちます。

これらの強力な GIS ソリューションの原動力は何でしょうか? アプリケーション プログラミング インターフェイス (API)。 これらは、政府機関が地理データを管理、共有、分析する方法に革命をもたらし、より効率的で効果的なガバナンスを実現します。

API は、さまざまなソフトウェア アプリケーションを接続するブリッジとして機能し、アプリケーション間のシームレスな通信とデータ共有を可能にします。 州政府や地方自治体にとって、これは、複雑で高価なソフトウェアの全面的な改修を必要とせずに、さまざまな部門が GIS 機能を既存のワークフローに統合できることを意味します。 これは、API の使用が大幅に増加したことも意味します。

API への依存度の高まりは、サイバー犯罪者にも気づかれずには済まない。 攻撃者は、API が果たす重要な役割を認識し、常に API をターゲットにし、API を悪用、乱用、侵害してシステムにアクセスし、重要なデータを盗み出すことを目指しています。 問題をさらに複雑にしているのは、郡を含む多くの地方機関が、システムにアクセスするためにどの API が妨害されているかを特定するのに必要な専門知識さえ欠いていることです。

上記のシナリオは、大規模なデータ侵害、コンプライアンスの問題、高額な規制罰金など、深刻なリスクをもたらします。 しかし、州政府や地方自治体は、API によって効率性と生産性が向上し、データの共有とコラボレーションが拡大し、コストが削減され、分析機能が大幅に改善されるため、GIS システムとその広大な API ネットワークを活用するという追加のリスクを負うことに強い意欲を持っています。

この記事では、州政府および地方自治体の機関にとってのシフトレフトによる変革のメリットと、それが API セキュリティの取り組みにおける次の大きな瞬間となる理由について説明します。

コードベースからの早期直接検出、包括的な理解、および予防的なドキュメント作成を通じて、政府機関は防御を強化し、可視性における重大なギャップを埋め、制御を改善し、コンプライアンスと規制当局の要件を満たし、リスクが極めて高い業界における API セキュリティの新しい標準を確立できます。

シフトレフトとは具体的に何ですか? また、なぜ重要なのですか?

セキュリティパラダイムにおける「シフトレフト」という概念は単なるトレンドではなく、堅牢な保護とリスク管理を確保するために必要不可欠なものになりつつあります。 これは特に API に当てはまります。API は従来の Web アプリよりも頻繁に変更され、新しいアプリがはるかに速いペースで追加されるためです。

簡単に言えば、インライン トラフィック分析などの従来のセキュリティ制御のみに焦点を当てると、組織は攻撃対象領域全体の弱点を把握して理解することができなくなります。 これにより組織は脆弱になりますが、盲点が災害を招く可能性がある州政府や地方自治体の API の領域ほどこのことが顕著に表れる場所はありません。 脆弱性やセキュリティギャップは、本番環境で修正するのが常に困難でコストもかかるため、コードを変更すると追加のリスクが生じる可能性があります。

左にシフト: 脆弱性検出を強化する新しいソリューション

アプリと API のセキュリティ ソリューション管理の課題は、ほとんどの組織にとってすでに圧倒的かつ複雑です。 実際、F5 がスポンサーとなった最近の Datos Insightsレポートによると、API セキュリティ分野だけでも 80 社を超えるソリューション プロバイダーが活動しており、平均的な組織では 20,000 を超える API が使用されていることがわかりました。 その結果、組織はアプリや API を保護するためにさまざまなベンダーの技術を組み合わせて使用することが多くなり、事実上、API セキュリティがサプライ チェーン セキュリティへと変化しています。 

これを念頭に置いて、API セキュリティの「シフト レフト」ソリューションで考慮すべき点をいくつか示します。

  • スキャン、偵察、テスト機能によるコードレベルの検出により、コード内のCVEとAPIリスクの早期検出が可能
  • 生成型 AI を活用したインテリジェントで自動化されたセキュリティ対応
  • 堅牢なAPIスキーマの自動作成と検証
  • 実用的なインテリジェンスによる API リスクの洞察力のある解明
  • ライフサイクル全体の API セキュリティ - アプリ開発ライフサイクル全体にわたる、アプリと API のセキュリティおよび配信機能の幅広いポートフォリオの一部であるソリューションを活用

シフトレフト コンセプトの中核にあるプロアクティブなアプローチにより、不一致、シャドウ API、その他の問題をより迅速かつ正確に特定できるようになります。 この方法は、ドキュメントを省略したり、最初から包括的な理解が欠如している可能性のあるアドホックなアプローチよりもはるかに優れています。 適切なテクノロジーを導入してシフトレフト戦略を採用すると、セキュリティが向上するだけでなく、開発ライフサイクル全体が合理化され、アプリケーション チームとリスク チームの両方が勝利を収めることができるため、先進的な考えを持つ州政府や地方自治体の機関にとって不可欠な実践となります。

シフトレフトがあなたの部門や機関にどのように役立つかについて詳しく学びましょう

このブログでは、厳選したコンテンツと、他の業界分野に焦点を当てた追加記事を共有しています。