エンドポイントと統合のファブリックが絶えず拡大しているため、API が拡散し、セキュリティ チームが手動の方法を使用して重要なビジネス ロジックを識別して保護することは現実的ではありません。 API は、データセンター、パブリック クラウド、エッジ サイトを活用するハイブリッド環境やマルチクラウド環境など、異機種混在のインフラストラクチャ全体に分散されることが多くなり、その結果、重要なビジネス ロジックが集中型セキュリティ制御の領域外に公開されることになります。 さらに、アプリケーション開発チームはイノベーションを迅速に進めるため、API 呼び出しがビジネス ロジックの奥深くに隠れてしまい、安全でないコードを参照することになり、保護が困難になることがあります。 

イノベーションのスピードが重視されるあまり、セキュリティが軽視されがちです。 API 自体の設計において、セキュリティが単に無視されることがあります。 多くの場合、セキュリティは考慮されますが、複数のクラウドとアーキテクチャにまたがるアプリケーション展開を維持する微妙な複雑さのために、ポリシーが誤って構成されます。 

API はマシン間のデータ交換用に設計されているため、多くの API は機密データへの直接ルートを表し、多くの場合、ユーザー向けの Web フォームでの入力検証と同じリスク制御が行われません。 しかし、これらのエンドポイントは、Web アプリを悩ませるのと同じ攻撃、つまり脆弱性の悪用、ビジネス ロジックの悪用、アクセス制御のバイパスなどにさらされており、データ侵害、ダウンタイム、アカウント乗っ取り (ATO) につながる可能性があります。

API エンドポイントは、Web アプリケーションと同じリスク管理 (ビジネス ロジック攻撃によるリスクを軽減するためのコード分析、侵入テスト、脅威モデリングなど) で評価する必要があるだけでなく、シャドー API やゾンビ API の場合のように、セキュリティ チームの管理外にあるエンドポイントや実質的に放棄されているエンドポイントによる意図しないリスクを軽減するために、追加の考慮事項も必要です。

API は、Web アプリケーションを標的とする攻撃と同じ攻撃の多くに対して脆弱であるため、API セキュリティ インシデントは、最も注目を集めるデータ侵害の原因となっています。 認証/承認制御の弱さ、構成ミス、ビジネス ロジックの悪用、サーバー側リクエスト フォージェリ (SSRF) などのリスクは、Web アプリと API の両方に影響を及ぼします。 ボットや悪意のある自動化による脆弱性の悪用と悪用が最大の懸念事項です。

• インジェクションとクロスサイト スクリプティング (XSS) により、データへの不正アクセスが発生する可能性があります。
• 分散型サービス拒否 (DDoS) は、収益を生み出す重要なサービスを妨害する可能性があります。
• クレデンシャルスタッフィングやその他の自動化された攻撃は、侵害、データ漏洩、詐欺につながる可能性があります。

アプリケーションは、相互接続として機能する API を備えた、ますます分散化および非中央集権化モデルへと移行しています。 ビジネス価値を高めるモバイル アプリとサードパーティの統合は、オンラインの世界で競争に勝つための必須条件となっています。 F5 Labs の調査では、より多くの業界が最新のアプリケーション アーキテクチャを採用するにつれて、API がますます多くの標的になっていることが詳しく述べられています。これは、API がより構造化され、攻撃者が操作しやすくなっていることが一因です。

包括的なガバナンス戦略なしに API が広く配布されると、リスクが増大します。 このリスクは、複雑なサプライ チェーンとの統合や CI/CD パイプラインによる自動化により、アプリケーションと API が時間の経過とともに絶えず変化する継続的なアプリケーション ライフサイクル プロセスによってさらに悪化します。

インターフェースの多様性と潜在的なリスクへの露出により、セキュリティ チームは、最新の AI アプリの構成要素である玄関だけでなく、すべての窓をプロアクティブに、動的に、継続的に保護する必要があります。

機械学習の進歩により、テストと本番の両方で API エンドポイントを動的に検出し、それらの相互依存関係を自動的にマッピングできるようになり、時間の経過に伴う API 通信パターンを分析し、リスクを増大させるシャドー API や文書化されていない API を特定する実用的な方法が提供されます。 

さらに、エンドポイントの継続的な監視と分析により、セキュリティ ベースラインを自律的に構築できるため、セキュリティ チームの作業負荷を不必要に増やすことなく、リアルタイム検出、自動リスク スコアリング、悪意のあるユーザーの軽減が可能になります。

この継続的かつ自動化された保護により、ソフトウェア開発ライフサイクルのすべての段階で、すべてのアーキテクチャ、すべての API に一貫して適用できる高度に調整されたポリシーが実現し、エクスプロイトの軽減、ビジネス ロジック攻撃の阻止、スキーマ、プロトコル コンプライアンス、アクセス制御の適用が可能になります。

企業は、最新のアーキテクチャとサードパーティの統合を活用して、レガシー アプリを最新化すると同時に、新しいユーザー エクスペリエンスを開発する必要があります。 コアからクラウド、エッジまで API を保護する総合的なガバナンス戦略は、既知および未知のリスクを軽減しながらデジタル変革をサポートします。

F5 ソリューションは、あらゆる環境で動作する柔軟性を提供します。 普遍的な可視性と ML ベースの自動保護により、有効性が最大化され、セキュリティ チームの負担が軽減されます。 F5 は、ピュアプレイ/ニッチ ソリューションを統合し、ハイブリッドおよびマルチクラウド環境を一貫して保護して、回復力と修復力を向上させることができます。

API セキュリティを導入する際の主な考慮事項は次のとおりです。

1. ハイブリッドおよびマルチクラウドのサポート
   普遍的な可視性と一貫したポリシーの適用により、複雑さ、ツールの無秩序な増加、誤った構成のリスクが軽減され、修復までの時間が短縮されます。
   
   
2. 既存の開発プロセスとの統合
   セキュリティ チームは、テスト中にリスクを積極的に発見し、ネイティブの Terraform レジストリを介してセキュリティ ポリシーを CI/CD パイプラインに統合することで、アプリケーションのライフサイクルに対応できます。
   
   
3. ポジティブセキュリティモデル
   F5 ソリューションは、OpenAPI 定義、Swagger ファイル、ゼロ トラスト原則を使用してスキーマを適用するポジティブ セキュリティ モデルにより、ポリシーを合理化します。
   
   
4. 自動防御
   ML ベースの異常検出は、環境全体にわたるポリシー調整や過度の誤検知によってセキュリティ チームに負担をかけることなく、脆弱性の悪用、ビジネス ロジックの悪用、サービス拒否を修復します。
   
   
5. 豊富な視覚化
   API 使用ベースラインへのドリルダウンをサポートするセキュリティ ダッシュボードにより、オペレーターは洞察を相関させ、インシデント対応を簡素化できます。


6. セキュリティの回復力
   耐久性のあるテレメトリと高度に訓練された機械学習により、デジタル ビジネスのスピードに対応し、新たな敵対的 AI 攻撃を軽減する、より効率的で効果的なセキュリティが実現します。

F5 ソリューションは、クラウドやアーキテクチャ全体にわたって重要なビジネス ロジックとサードパーティの統合を継続的に検出し、自動的に保護することで、エンタープライズ ポートフォリオ全体の API を保護します。 

包括的かつ一貫性のあるセキュリティ ポリシーと、回復力のある ML を活用した防御を組み合わせることで、組織は API セキュリティをデジタル戦略に適合させることができます。 これにより、企業はリスク管理を改善し、自信を持って革新を進め、業務を合理化することができます。

F5 Distributed Cloud の実際の動作をご覧ください。