API セキュリティのベスト プラクティス トップ 3
デジタルファブリックを進化させながら防御力を強化する
導入
新しいデジタル経済で成功したい組織にとって、現状のままでは不十分です。 従来のセキュリティ制御は静的で柔軟性に欠けます。 これらは、API が普及し、今日のデジタル エクスペリエンスの基礎となるずっと前の、予測可能なユーザー ジャーニーとトラフィック フローを備えたクライアント/サーバー通信の時代に設計されました。
ゼロ トラスト、最小権限アクセス、認証/承認の原則を取り入れてセキュリティを近代化する取り組みが実を結んだ一方で、状況は変化しました。 アプリケーション ゲームのプレイヤーは、デジタル プロパティ間で取引を行うことであなたを応援しますが、これはもはや従来の意味でのユーザーではありません。 こうした「ユーザー」は、顧客や見込み客だけでなく、パートナーやエコシステム統合からの API からのビジネス ロジック呼び出しになることが増えています。 API の重要性は、攻撃者にとって API がより大きなターゲットになることも意味します。
生き残りたい組織は、データセンター、プライベート/パブリック クラウド、エッジにまたがる分散型で絶えず変化するデジタル ファブリックにおいて、API を保護し、意図しない予期しないリスクを軽減する必要があります。 成功を目指す組織は、いくつかの重要な領域に戦略的取り組みを集中させ、ハイブリッドおよびマルチクラウド環境全体のデジタル タッチポイントを保護する、予測可能でスケーラブルな自己防衛型 API セキュリティ プラットフォームを構築する必要があります。
従来のセキュリティと最新のセキュリティ
従来のセキュリティ制御は広く導入されており、世界中の組織で企業秘密や顧客データを保護するために使用されています。 企業は、機密情報へのアクセスを制限することでプライバシーを確保し、データの盗難を防ぐためにトラフィック検査を採用しています。 API ゲートウェイでのレート制限などのセキュリティ制御は、サービス拒否 (DoS) 攻撃を軽減するのに役立ちます。 また、Web アプリケーション ファイアウォール (WAF) の Web スクレイピング制御により、価格などの機密情報の漏洩を防止します。 さらに、組織では、OWASP Top 10 に含まれるような多くの一般的なリスクに対処するために、静的コード分析や動的アプリケーション セキュリティ テストなどのセキュリティ ツールを組み合わせて使用することがよくあります。
しかし、今日のデジタル世界では、従来のセキュリティ対策だけでは不十分です。 そのため、多くの組織が、分散アプリケーションの認証 (AuthN)、承認 (AuthZ)、動的トラフィック検査などの最新のセキュリティ制御を採用しています。
組織は、多要素認証、公開鍵証明書、生体認証、その他の方法を使用して、人物とデバイスの ID を確認し、正当なユーザーと信頼できるマシンだけがデータにアクセスできるようにします。 承認とは、認証されたユーザーに適切な権限を付与し、ユーザーが作業に必要なすべてのファイルとデータにアクセスできるようにしながら、ユーザーがアクセスすべきでないその他の情報を閲覧できないようにすることです。 トラフィック検査により、企業はセキュリティ検査チェーン全体のアプリケーション トラフィックを検査し、異常なアクティビティや潜在的な脅威を特定し、会計やインシデント対応に必要な洞察を提供することで、リスクを最小限に抑えることができます。
これらの制御はセキュリティ チームとリスク チームによって広く導入され、十分に理解されていますが、データ センター コアから顧客エッジまで、多数のデジタル タッチ ポイントにわたって実装することは、非常に大きな課題です。
適応型セキュリティへの進化
セキュリティはますます ID と検証に重点が置かれるようになっています。 組織は、ゼロ トラストや最小権限アクセスなどの方法を使用してセキュリティの厳格性を高め、ユーザーもデバイスもデフォルトで信頼せず、多くの場合、事前に決定されたユース ケース モデリングを通じて、必要な最小限の情報へのアクセスを制限します。 企業はまた、行動分析などの方法を使用して、悪意のあるユーザーによる潜在的な脅威を示唆する可能性のある疑わしい行動を検出したり、リスクベースの制御を使用して認証プロセスを強化し、認識された脅威レベルが上昇するにつれて認証プロセスをより厳格にしたりします。
図1: モノのインターネットは私たちの周りの世界をつなぎ、現代の生活に力を与えます。
しかし、今日の組織は複雑で相互接続されたアーキテクチャを運用しており、AuthN や AuthZ などのセキュリティ ポリシーを一貫して適用することが複雑になっています。 IT 部門はツールの拡散と異機種環境の管理という課題に圧倒されており、「ユーザー」は人間ではなく API、サービス、またはマシンである可能性が高くなります。 アーキテクチャの複雑性と相互接続性の増大により、リスク管理におけるパラダイムシフトが必要になります。 必要なのは、組織が大規模にデータの分析情報を相関させ、新たな脅威を迅速に修復できるように、人工知能 (AI) と機械学習 (ML) を組み合わせたクロスプラットフォームの可視性です。これは、Web アプリおよび API 保護サービス (WAAPaaS) プラットフォームで現在実現可能な機能です。
図2: WAF は、時間の経過とともに進化してきた戦略的なセキュリティ制御です。
「セキュリティ・アズ・ア・サービスを選択する最大の理由はスピードです」1
適応型アイデンティティベースのセキュリティ
あらゆるセキュリティ プラットフォームにとって、特に API を保護する場合には、クロスプラットフォーム アプリケーション サービスのコア セットとポジティブな運用モデルの組み合わせが重要です。 これらのコア アプリケーション サービスには、ゼロ トラストやリスクベースの管理のほか、データ センターまたはクラウド環境内でサービスとサービスへのアクセスを分離するマイクロセグメンテーションが含まれる場合があります。 もう一つのコアテナントであるネイティブの多層防御は、プラットフォーム全体に複数層のセキュリティ制御を提供し、1 つのセキュリティ制御では意欲的な攻撃者を阻止できない場合に備えて回復力を生み出します。
強力な名前空間分離によりリソースが分離され、セキュリティが強化されます。また、シークレット管理により、最新のアーキテクチャでますます一般的になっているマシン間通信のセキュリティ ポリシーが一貫して適用されます。
図3: クロスプラットフォーム アプリケーション サービスの一部としての AuthN および AuthZ の ID 機関。
ポジティブ セキュリティ運用モデルにより、組織は CI/CD パイプライン内にセキュリティを統合し、新しい API エンドポイントを動的に検出し、API スキーマとアクセス制御を適用できるほか、AI/ML ベースの異常検出によって重要なビジネス ロジックを自動的に保護できます。 これにより、アプリケーションのライフサイクル全体にわたってポリシーを一貫して適用できるようになり、高度に分散化され相互接続されたアーキテクチャにおけるリスクと意図しない誤った構成が軽減され、悪意のあるユーザーが無力化されます。
基盤となるインフラストラクチャと API がどこに存在するかに関係なく、これらのサービスを一貫して提供できるように拡張でき、誤検知分析やリスク評価/トリアージなどの操作を自動化できるプラットフォームがあれば、セキュリティ チームは、環境全体でセキュリティ ポリシーを維持したり、アクションに関連しない、またはインシデント対応を必要としない大量のセキュリティ アラートを管理したりするという日常的な戦術的課題ではなく、戦略的なリスク管理に注力できるようになります。
図4: ポジティブ セキュリティ運用モデルにより、自動化された保護と適応型防御が可能になります。
「API セキュリティのための認証と承認の使用を含む ID 管理テクノロジは、依然としてアプリケーションのセキュリティを確保するための最も価値のあるアプローチと見なされています。」1
API セキュリティのベスト プラクティス トップ 3
組織が新しいデジタル経済で成功するには、セキュリティ チームとリスク チームが次の 3 つの領域に戦略的取り組みを集中し、予測可能でスケーラブルな自己防衛型 API セキュリティ プラットフォームを構築する必要があります。
1. アイデンティティベースのセキュリティ
適応型 ID ベースのセキュリティに進化します。
2. クロスプラットフォーム サービス
一貫性、可観測性、実用的な洞察を得るために、クロスプラットフォーム アプリケーション サービスを導入します。
3. 自動保護
継続的な自動保護のために AI/ML を活用します。
