ブログ

API ゲートウェイは新たな戦略的コントロール ポイントです (ただし、セキュリティはまだ不十分です)

F5 サムネイル
F5
2019年12月19日公開

モノリシック アプリケーションからマイクロサービスのエコシステムへの移行により、API は戦略的かつ重要な制御ポイントになりました。 Web アプリケーション ファイアウォール(WAF) は HTTP ベースのアプリケーションを保護するための主要なツールですが、API には適切なコンプライアンス、セキュリティ、監査のための同等の制御が欠けていました。 API と非人間によるトラフィックが Web アプリのトラフィックを上回るにつれて、セキュリティ制御も進化する必要があります。 セキュリティ リーダーは、新たなトレンドを、API の保護についてさらに学ぶ機会として、また組織内で API セキュリティの改善を推進する手段として活用する必要があります。

API の爆発的な増加が広がっています– API の急増は今後も続くでしょう。 さらに、API を展開しているのは DevOps チームだけではない可能性があります。 マーケティング チームなどの組織の他の部門では、マーケティング活動の一環として独自の API を公開したり、サードパーティの API を使用したりすることもできます。 セキュリティ チームにとって、使用中の API の正確なインベントリは重要な第一歩です。

コラボレーションが重要– セキュリティ チームは DevOps と連携して、適切な API セキュリティ制御を設計および実装する必要があります。 DevOps は迅速に動くことを望んでいます。 セキュリティ チームは DevOps の動きを理解し、集中管理して CI/CD プロセスに自動化できるセキュリティ制御を導入する必要があります。

API ゲートウェイのセキュリティが遅れている– 今日の API ゲートウェイは通常、認証、バージョン管理、分析 (計測と課金用) に重点を置いています。 これらのセキュリティ制御は重要ですが、API を完全に保護するものではありません。 認証サービス、レイヤー 7 DoS、データ流出、エクスプロイト、インジェクション、異常に対する攻撃から防御するには、十分な API セキュリティが必要です。

直接の標的となったAPIは依然として脆弱

API は、重要な制御ポイントとして、今日のデジタル ビジネス プラットフォームの中核を成しています。 API は通常、外部に公開され、ビジネス パートナー、顧客、マイクロサービスによってアクセスされるように設計されています。 Web アプリケーションと同様に、API は適切に保護する必要がある機密データへの入り口となる可能性があります。 Venmo、Facebook、Salesforce などの組織で最近発生した API 関連のインシデントは、API セキュリティの重要性に関する教訓となります。 F5 Labs は、ここで注目すべき追加の API の不具合を強調しています。

多くの技術の進歩と同様に、セキュリティは遅れをとることが多いです。 API セキュリティもこのルールの例外ではありません。 API 主導の経済が進む一方で、セキュリティ専門家は API セキュリティへの対応の量、ペース、複雑さに圧倒される可能性があります。

API の大量増加は今後も続くでしょう。 アプリケーションがビジネスの中心となるにつれて、API の急増は今後も続くでしょう。 プログラム可能な Web API ディレクトリでは、 2019 年に公開された API が急増しました (毎月数百の新しい API)。 特に業界各社が API ベースの相互運用性を推進するにつれて、この数字は今後も増加し続けると予想されます。 EU の PSD2 (改訂決済サービス指令) が良い例です。

セキュリティは CI/CD パイプラインと歩調を合わせる必要があります。 「バージョン管理」をサポートする API ゲートウェイにより、API プロバイダーは既存のクライアント統合を中断することなく、継続的に新しい機能や特徴を追加できます。 これは CI/CD には最適ですが、セキュリティによってプロセスが遅くなると、ビジネスに直接影響を及ぼし、アジャイル開発のメリットが損なわれる可能性があります。 こうした環境に対応するには、セキュリティ制御を自動化し、セキュリティ チームがリリース サイクルに影響を与えずに共通の制御を一元的に実施できるようにリリース プロセスに統合する必要があります。

API セキュリティの所有権が異なることが要因です。 API は、モバイル アプリ、マイクロサービス、クラウド、オンプレミスなど、組織全体で使用されます。 組織全体の可視性と API インベントリ機能はまだ開発中であるため、一部の API はセキュリティ チームの管理範囲外になっています。 組織横断的なリーダーシップと利害関係者は、一貫したセキュリティの実践と制御を実施することについて教育を受ける必要があります。

API ゲートウェイのセキュリティは未熟です。 現在、MuleSoft、Google (Apigee)、Kong、Istio、Oracle など、API ゲートウェイを提供しているベンダーは数多くあります。 これらは、バージョン管理、ルーティング、分析/計測、認証などの必要な API ゲートウェイ機能セットを提供します。 これらにはそれぞれ独自の長所と付加価値がありますが、アクセス違反、インジェクション、DoS、エクスプロイトから保護する完全なセキュリティ制御を、他のセキュリティ ゲートウェイ サービスとともに実装する必要があります。
_____

これで準備は整いました。来週のブログ (ここにリンクを追加しました) をお楽しみに。そこでは、上記の課題に対処するために何ができるかについて詳しく説明します。