ソリューション概要

APIとサードパーティの統合を保護する方法

デジタルビジネスの基盤を守る

APIは最新のアプリケーションの基盤です。APIは、異種システムを統合的に動作させることで、市場投入までの時間を短縮し、広大なサードパーティのエコシステムを活用することで、ユーザーエクスペリエンスの向上を実現する。その反面、APIの利用が急増することで、アーキテクチャが分散化し、未知のリスクが発生する。このため、アプリとAPIのセキュリティ確保はさらに難しくなり、攻撃者にとって非常に魅力的なものとなっている。組織がアプリ・ポートフォリオを近代化し、新たなデジタル経済で革新を続ける中、APIの数は2031年までに10億に達すると予測されている。.

主なメリット

分散セキュリティ

F5は、データセンター、クラウド、エッジ、モバイルアプリの背後、サードパーティの統合など、お客様のAPIが存在するあらゆる場所で稼働します。

一貫した執行

F5セキュリティは、APIスキーマ学習、自動リスクスコアリング、MLベースの保護に基づくポジティブセキュリティモデルを採用している。

継続的な保護

F5のソリューションは、普遍的な可視性、実用的な洞察、高度に訓練された機械学習を提供し、APIの背後にある重要なビジネスロジックを継続的に検出して自動的に防御します。

APIの課題と潜在的リスクを理解する

絶え間なく拡大するエンドポイントや統合による API の乱立により、セキュリティチームが手作業で重要なビジネスロジックを特定し、保護することは現実的ではなくなっている。APIは、ハイブリッド環境やマルチクラウド環境など、ますます異種インフラに分散されるようになっており、その結果、重要なビジネスロジックが一元的なセキュリティ制御の範囲外で公開されるようになっている。さらに、アプリケーション開発チームは技術革新のために迅速に動くため、APIコールがビジネスロジックの奥深くに隠れてしまい、特定が困難になることがあります。 

イノベーションのスピードを重視するあまり、セキュリティはしばしば置き去りにされる。API自体の設計において、セキュリティが単に見落とされていることもある。多くの場合、セキュリティは考慮されるが、複数のクラウドやアーキテクチャにまたがるアプリケーションのデプロイメントを維持するための微妙な複雑さのために、ポリシーが誤って設定される。 

APIはマシンからマシンへのデータ交換のために設計されているため、多くのAPIは機密データへの直接の経路となり、多くの場合、ユーザー向けWebフォームの入力バリデーションと同様のリスク管理が行われません。しかし、これらのエンドポイントは、ウェブアプリを悩ませるのと同じ攻撃の対象となります。すなわち、脆弱性の悪用、ビジネスロジックの乱用、データ漏洩、ダウンタイム、アカウント乗っ取り(ATO)につながるアクセス制御のバイパスなどです。

APIエンドポイントは、ウェブアプリケーションと同じリスク管理で評価されるべきであるだけでなく、シャドーAPIやゾンビAPIのように、セキュリティチームの権限の及ばないエンドポイントや、実質的に放棄されたエンドポイントからの意図しないリスクを軽減するために、さらなる考慮が必要である。 

APIはウェブアプリと同じ攻撃を受ける

API は、ウェブアプリケーションを標的にすることで知られているのと同じ攻撃の多くを受けやすいので、API セキュリティインシデントは、最も有名なデータ侵害の原因の一部となっています。脆弱な認証/認可コントロール、設定ミス、ビジネスロジックの悪用、サーバサイドリクエストフォージェリ(SSRF)などのリスクは、ウェブアプリケーションとAPIの両方に影響を与える。脆弱性の悪用や、ボットや悪意のある自動化による悪用は、最大の懸念事項です:

APIは設計と実装を通して意図しないリスクをもたらす

アプリケーションはますます分散化・非中央集権化モデルへと移行し、APIがその相互接続の役割を果たしている。ビジネス価値を高めるモバイル アプリとサード パーティの統合は、オンラインの世界でうまく競争するためのテーブル ステークスになっています。F5 Labs の調査では、より多くの業界が最新のアプリケーションアーキテクチャを採用するにつれ、API がターゲットになりつつあることを詳しく説明しています。

全体的なガバナンス戦略なしにAPIが広く配布されるようになると、リスクは増大する。このリスクは、複雑なサプライチェーンとの統合やCI/CDパイプラインによる自動化によって、アプリケーションとAPIが時間とともに絶えず変化する継続的なアプリケーションライフサイクルプロセスによって悪化する。

多様なインターフェースと潜在的なリスクへの暴露は、セキュリティ・チームがフロント・ドアだけでなく、最新のアプリの構成要素であるすべてのウィンドウを保護する必要があることを意味する。

APIセキュリティ・ソリューション

機械学習の進歩により、APIエンドポイントを動的に発見し、それらの相互依存関係を自動的にマッピングすることが可能になり、API通信パターンを時系列で分析し、リスクを増大させるシャドウAPIや文書化されていないAPIを特定する実用的な方法が提供される。 

さらに、継続的なエンドポイントの監視と分析により、セキュリティ・ベースラインを自律的に構築し、セキュリティ・チームの作業負荷を不必要に増やすことなく、悪意のあるユーザーをリアルタイムで検出、自動リスク・スコアリング、および軽減することができます。

この継続的かつ自動化された保護により、高度に調整されたポリシーが、すべてのAPIのすべてのアーキテクチャに一貫して適用され、エクスプロイトを軽減し、ボットや不正使用を阻止し、スキーマ、プロトコルコンプライアンス、アクセス制御を実施することができます。

企業はレガシーアプリをモダナイズすると同時に、モダンなアーキテクチャとサードパーティの統合を活用して新しいユーザーエクスペリエンスを開発する必要があります。コアからクラウド、エッジまでAPIを保護する全体的なガバナンス戦略は、既知および未知のリスクを低減しながら、デジタルトランスフォーメーションをサポートします。

図1: F5のソリューションは、企業アプリのエコシステム全体でAPIを保護する
図1: F5のソリューションは、企業アプリのエコシステム全体でAPIを保護する

主な特徴

動的APIディスカバリー

企業アプリのエコシステム全体でAPIエンドポイントを検出します。

異常検知

自動化されたリスクスコアリングと機械学習を使用して、疑わしい行動や悪意のあるユーザーを特定します。

API定義のインポート

OpenAPI仕様から積極的なセキュリティモデルを作成し、実施する。

プロトコルと認証のコンプライアンス

REST、GraphQL、gRPCに基づくAPI、さまざまな認証タイプ、JSON Webトークン(JWT)をサポート。

ポリシーの自動化

開発フレームワークとセキュリティ・エコシステムに統合する。

視覚化と洞察

API関係グラフを構築し、エンドポイントのメトリクスを評価する。 

柔軟なAPIセキュリティ・パラダイム

F5のソリューションは、どのような環境でも運用できる柔軟性を備えています。ユニバーサルな可視性とMLベースの自動化された保護機能により、最大限の効果を発揮し、セキュリティチームの負担を軽減します。F5はピュアプレイ/ニッチソリューションを統合し、ハイブリッドおよびマルチクラウド環境を一貫して保護することで、回復力と修復力を向上させます。

APIセキュリティを導入する際の主な検討事項は以下の通りである:
  1. ハイブリッドおよびマルチクラウドのサポート
    ユニバーサルな可視性と一貫したポリシー実施により、複雑さ、ツールの乱立、および設定ミスのリスクを低減し、修復までの速度を向上します。

  2. 既存の開発プロセスとの統合
    セキュリティチームは、ネイティブのterraformレジストリを介してセキュリティポリシーをCI/CDパイプラインに統合することで、アプリケーションのライフサイクルと歩調を合わせることができます。

  3. 積極的なセキュリティ モデル
    F5ソリューションは、OpenAPI定義、Swaggerファイル、およびゼロトラスト原則を使用してスキーマを強制する積極的なセキュリティ モデルでポリシーを合理化します。

  4. 自動化された防御
    MLベースの異常検知は、環境間でのポリシーのチューニングや過剰な誤検知によってセキュリティ チームに負担をかけることなく、脆弱性の悪用、ビジネス ロジックの乱用、およびサービス拒否を修復します。

  5. 豊富な視覚化機能
    API使用状況のベースラインへのドリルダウンをサポートするセキュリティ ダッシュボードは、オペレーターが洞察を関連付け、インシデント対応を簡素化するのに役立ちます。

  6. Sセキュリティの回復力
    耐久性のある遠隔測定と高度に訓練された機械学習により、デジタル・ビジネスのスピードに対応し、新たな敵対的AI攻撃を軽減する、より効率的で効果的なセキュリティが可能になります。

結論

F5のソリューションは、クラウドやアーキテクチャにまたがる重要なビジネスロジックやサードパーティの統合を継続的に検出し、自動的に保護することで、企業ポートフォリオ全体のAPIを保護します。 

包括的で一貫性のあるセキュリティポリシーと、MLを活用した弾力的な防御により、企業はAPIセキュリティをデジタル戦略に適合させることができる。これにより、企業はリスク管理を改善し、自信を持ってイノベーションを起こし、業務を合理化することができます。

See F5分散クラウドの実例.

関連情報

用語集
APIセキュリティとは?主な種類と使用例

ブログ
F5の調査が示すAPIとAIによるアプリケーション セキュリティの変革

プロダクト
APIゲートウェイ

用語集
API管理とは何か

用語集
APIファーストとは何か

ソリューション
APIへのサイバー攻撃と情報漏洩を防御しよう。