API は最新のアプリの基盤であり、AI アプリへの導管です。 API は、異なるシステムとエコシステムを共同で動作させることで、市場投入までの時間を短縮し、広大なサードパーティのエコシステムを活用してユーザー エクスペリエンスを向上させることができます。 その一方で、API の使用の急増と生成 AI の台頭により、アーキテクチャが分散化され、複雑さが増し、重大なリスクが生じています。 これにより、アプリと API のセキュリティ保護がさらに困難になり、攻撃者にとって非常に魅力的なものになります。 組織がアプリ ポートフォリオの最新化と新しいデジタル経済における革新を継続するにつれて、API の数は2031 年までに 10 億に達すると予測されています。
分散セキュリティ
F5 は、データセンター、クラウド、エッジ、モバイル アプリの背後、サードパーティ統合など、API が存在するあらゆる場所で実行されます。
一貫した施行
F5 セキュリティは、API スキーマ学習、自動リスク スコアリング、ML ベースの保護に基づくポジティブ セキュリティ モデルを採用しています。
継続的な保護
F5 ソリューションは、コードからテスト、本番環境まで、API の背後にある重要なビジネス ロジックを継続的に検出し、自動的に防御する、普遍的な可視性、実用的な洞察、高度に訓練された機械学習を提供します。
エンドポイントと統合のファブリックが絶えず拡大しているため、API が拡散し、セキュリティ チームが手動の方法を使用して重要なビジネス ロジックを識別して保護することは現実的ではありません。 API は、データセンター、パブリック クラウド、エッジ サイトを活用するハイブリッド環境やマルチクラウド環境など、異機種混在のインフラストラクチャ全体に分散されることが多くなり、その結果、重要なビジネス ロジックが集中型セキュリティ制御の領域外に公開されることになります。 さらに、アプリケーション開発チームはイノベーションを迅速に進めるため、API 呼び出しがビジネス ロジックの奥深くに隠れてしまい、安全でないコードを参照することになり、保護が困難になることがあります。
イノベーションのスピードが重視されるあまり、セキュリティが軽視されがちです。 API 自体の設計において、セキュリティが単に無視されることがあります。 多くの場合、セキュリティは考慮されますが、複数のクラウドとアーキテクチャにまたがるアプリケーション展開を維持する微妙な複雑さのために、ポリシーが誤って構成されます。
API はマシン間のデータ交換用に設計されているため、多くの API は機密データへの直接ルートを表し、多くの場合、ユーザー向けの Web フォームでの入力検証と同じリスク制御が行われません。 しかし、これらのエンドポイントは、Web アプリを悩ませるのと同じ攻撃、つまり脆弱性の悪用、ビジネス ロジックの悪用、アクセス制御のバイパスなどにさらされており、データ侵害、ダウンタイム、アカウント乗っ取り (ATO) につながる可能性があります。
API エンドポイントは、Web アプリケーションと同じリスク管理 (ビジネス ロジック攻撃によるリスクを軽減するためのコード分析、侵入テスト、脅威モデリングなど) で評価する必要があるだけでなく、シャドー API やゾンビ API の場合のように、セキュリティ チームの管理外にあるエンドポイントや実質的に放棄されているエンドポイントによる意図しないリスクを軽減するために、追加の考慮事項も必要です。
API は、Web アプリケーションを標的とする攻撃と同じ攻撃の多くに対して脆弱であるため、API セキュリティ インシデントは、最も注目を集めるデータ侵害の原因となっています。 認証/承認制御の弱さ、構成ミス、ビジネス ロジックの悪用、サーバー側リクエスト フォージェリ (SSRF) などのリスクは、Web アプリと API の両方に影響を及ぼします。 ボットや悪意のある自動化による脆弱性の悪用と悪用が最大の懸念事項です。
アプリケーションは、相互接続として機能する API を備えた、ますます分散化および非中央集権化モデルへと移行しています。 ビジネス価値を高めるモバイル アプリとサードパーティの統合は、オンラインの世界で競争に勝つための必須条件となっています。 F5 Labs の調査では、より多くの業界が最新のアプリケーション アーキテクチャを採用するにつれて、API がますます多くの標的になっていることが詳しく述べられています。これは、API がより構造化され、攻撃者が操作しやすくなっていることが一因です。
包括的なガバナンス戦略なしに API が広く配布されると、リスクが増大します。 このリスクは、複雑なサプライ チェーンとの統合や CI/CD パイプラインによる自動化により、アプリケーションと API が時間の経過とともに絶えず変化する継続的なアプリケーション ライフサイクル プロセスによってさらに悪化します。
インターフェースの多様性と潜在的なリスクへの露出により、セキュリティ チームは、最新の AI アプリの構成要素である玄関だけでなく、すべての窓をプロアクティブに、動的に、継続的に保護する必要があります。
機械学習の進歩により、テストと本番の両方で API エンドポイントを動的に検出し、それらの相互依存関係を自動的にマッピングできるようになり、時間の経過に伴う API 通信パターンを分析し、リスクを増大させるシャドー API や文書化されていない API を特定する実用的な方法が提供されます。
さらに、エンドポイントの継続的な監視と分析により、セキュリティ ベースラインを自律的に構築できるため、セキュリティ チームの作業負荷を不必要に増やすことなく、リアルタイム検出、自動リスク スコアリング、悪意のあるユーザーの軽減が可能になります。
この継続的かつ自動化された保護により、ソフトウェア開発ライフサイクルのすべての段階で、すべてのアーキテクチャ、すべての API に一貫して適用できる高度に調整されたポリシーが実現し、エクスプロイトの軽減、ビジネス ロジック攻撃の阻止、スキーマ、プロトコル コンプライアンス、アクセス制御の適用が可能になります。
企業は、最新のアーキテクチャとサードパーティの統合を活用して、レガシー アプリを最新化すると同時に、新しいユーザー エクスペリエンスを開発する必要があります。 コアからクラウド、エッジまで API を保護する総合的なガバナンス戦略は、既知および未知のリスクを軽減しながらデジタル変革をサポートします。
公開されている Web アプリや API に対する既知のリスクを発見し、AI 強化の分析情報を使用してテストの脆弱性を特定し、修復に役立てます。
動的API検出
エンタープライズ アプリ エコシステム全体の API エンドポイントを検出します。
異常検出
自動リスクスコアリングと機械学習を使用して、疑わしい動作や悪意のあるユーザーを特定します。
API定義のインポート
OpenAPI 仕様からポジティブ セキュリティ モデルを作成し、適用します。
プロトコルと認証のコンプライアンス
REST、GraphQL、gRPC に基づく API、さまざまな認証タイプ、JSON Web Token (JWT) のサポート。
ポリシーの自動化
開発フレームワークとセキュリティ エコシステムに統合します。
視覚化と洞察
API 関係グラフを構築し、エンドポイント メトリックを評価します。
F5 ソリューションは、あらゆる環境で動作する柔軟性を提供します。 普遍的な可視性と ML ベースの自動保護により、有効性が最大化され、セキュリティ チームの負担が軽減されます。 F5 は、ピュアプレイ/ニッチ ソリューションを統合し、ハイブリッドおよびマルチクラウド環境を一貫して保護して、回復力と修復力を向上させることができます。
F5 ソリューションは、クラウドやアーキテクチャ全体にわたって重要なビジネス ロジックとサードパーティの統合を継続的に検出し、自動的に保護することで、エンタープライズ ポートフォリオ全体の API を保護します。
包括的かつ一貫性のあるセキュリティ ポリシーと、回復力のある ML を活用した防御を組み合わせることで、組織は API セキュリティをデジタル戦略に適合させることができます。 これにより、企業はリスク管理を改善し、自信を持って革新を進め、業務を合理化することができます。
F5 Distributed Cloud の実際の動作をご覧ください。