マルチクラウド API の拡散時代におけるapplicationセキュリティの課題の解明

アプリ開発者とセキュリティ チームが協力して API セキュリティの課題に適切に対処できるように、Google Cloud と F5 が協力して特別なウェビナー イベント「Untangling APIs」を開催しました。 無秩序な拡大に対処し、デジタル エコシステムを保護する。 この会話では、API の拡散、管理、セキュリティに関して組織が抱えている、または抱えるべき重要な質問に対する、関連性が高く実用的な回答がいくつか明らかになりました。

ライブセッションに参加できなかったとしても心配はいりません。このブログ投稿でハイライトのいくつかをご覧いただけます。また、オンデマンド録画にもアクセスできます。

ActualTech Media の Jess Steinbach 氏が司会を務めたこのイベントには、Google Cloud の戦略技術パートナー マネージャーであるJoshua Haslett氏、F5 のシニア プロダクト マーケティング マネージャーであるIan Dinno 氏、F5 のプロダクト管理ディレクターであるDavid Remington 氏といった著名なプレゼンターも参加しました。 彼らは API セキュリティの重要な問題に真剣に取り組み、組織全体でより総合的なアプリと API のセキュリティ戦略を採用するための専門的なアドバイスと実践的なガイダンスを参加者に提供しました。

議論の中で述べられた主な論点の 1 つは、総合的なアプローチへの正しい道を見つけることでしたが、組織のapplicationエコシステム全体で利用される API の数が前例のない速度で増加し続けているため、この取り組みはさらに困難になっています。 出席者の質問の 1 つで強調されたように、API の拡散によってもたらされるセキュリティ、ガバナンス、効率性の課題は、ハイブリッド クラウドインフラストラクチャの採用の増加と、複雑なマルチアプリ ビジネス プロセスを機能させる多数のマイクロサービスによってさらに複雑になっています。

データ侵害、アカウント乗っ取り、詐欺など、API の拡散に関連するリスクに対処するには、組織のapplicationセキュリティ プログラムに、継続的な検出と監視、ランタイム保護、リアルタイムのポスチャ管理を実現するAPI 保護テクノロジを含める必要があります。 また、このプログラムは、リリースを遅らせたり、ユーザー エクスペリエンスに悪影響を与えたり、APPLICATIONによってサポートされる必要があります。

おそらく、チームが実行中の API とその実行場所を適切に把握していると思われるときに、新しいアプリまたは API エンドポイントが追加されたり、既存のものが更新されたりすることがあります。 これは、新しいサードパーティのサービス、またはセキュリティを担当するチームには表示されない可能性のある複数の新しい API や更新された API である可能性があり、組織に新しい脆弱なエントリ ポイントと露出を追加します。 無秩序な拡大を食い止めるのは終わりのない戦いであり、セキュリティ チームがこれらのサービスを個別に、また完全に機能するapplicationの一部として評価し、保護することはさらに困難になります。

アプリケーション インフラストラクチャの複雑化に伴う脅威の状況のリスク増大について語り、Ian と David は、攻撃の範囲と規模、および必要な保護の両面で、 API セキュリティにおいて AI と機械学習が重要な役割を果たすことになるという確固たる立場を示しました。

ウェビナー中にパネルが議論したもう 1 つの重要な要素は、API セキュリティの状態を可視化する必要性です。 たとえば、ある参加者は、最近、自社のシステムやapplicationsの一部でパフォーマンスの問題やその他の障害が発生し始めたとパネルに説明しました。 しかし、API の拡散がアクティブな攻撃によって悪用されている兆候が見られるかどうかを簡単に確認することはできませんでした。 これは多くのチームが苦労している共通の問題のようです。