リアルタイム API セキュリティでアカウント乗っ取り詐欺に対抗

組織がAPI ベースのセキュリティインシデントの現実に取り組む中、多くの組織は、運用ワークフローを破壊せずに脅威に先手を打つための簡単で実用的なアプローチを模索しています。 彼らは、「API トラフィックを分析し、ボットや不正使用を検出し、詐欺やデータ盗難につながる可能性のある不正アクセスを防ぐために、どのような手順を踏んでいますか?」と尋ねています。

最近、数名のアプリ開発者とセキュリティ専門家が F5 と Google Cloud に加わり、アプリケーションの多数の API を通じて大混乱を引き起こす可能性のあるアカウント乗っ取りの脅威を阻止することに焦点を当てた会話を行いました。

このウェビナー「アカウント乗っ取りの脅威を阻止 - API セキュリティに関する会話に参加」は、DevOps チームと InfoSec チームが協力してこれらの API セキュリティの課題にうまく対処できるように設計されています。 含まれるトピック:

• APIを標的とする現在の脅威の状況
• 従来のボット検出技術が効果を失ってしまった理由
• ブランドと評判への潜在的なダメージを軽減する方法

ライブセッションに参加できなかったとしても心配はいりません。このブログ投稿でハイライトの一部をご覧になれますし、オンデマンド録画にもアクセスできます。

会話が進むにつれて、パネルでは、API がどのようにセキュリティ リスクを生み出す可能性があるか、組織が API ベースのアカウント乗っ取りを防ぐために何ができるかについて共有しました。 彼らは、現在使用されている膨大な数の API によりデジタル攻撃対象領域が飛躍的に拡大しており、多くの組織では効果的な保護に必要な可視性が欠如していることを強調しました。 適切な可視性を得るために、当社の専門家は組織に対し、次の質問に答えるよう推奨しました。

• 私たちの環境にはどのような API が存在しますか?
• これらの API でアクセスできるリソースは何ですか?
• API を利用するのは誰ですか?
• これらの API によってどのような具体的なビジネス上の脆弱性が露呈するのでしょうか?

API 対応のサイバー脅威に効果的に対抗するには、組織は、悪意のある人物がユーザー アカウントの乗っ取りに成功する前に、DevOps、InfoSec、ビジネス チームが連携して保護を実装するための最善の方法を見つけ出す必要があります。 効果的なサイバーセキュリティ プログラムには、適切なツールとインテリジェンス、堅牢な部門横断的な計画、効果的なチーム コラボレーション、進捗状況と態勢を評価および測定する能力、そして戦略がどのように機能しているかをリーダーシップと組織全体に正直に報告する自信を含む包括的な戦略が必要です。

防御を強化するために、当社の専門家は、アプリケーションの開発と配信中に保護を追加し、配信後にリアルタイム監視を組み込むことを推奨しています。これにより、チームは何かひどいことが起こる前に迅速に対応できます。 この包括的かつ多層的なアプローチにより、マルチクラウド ネットワーク トラフィックと分散アプリケーションおよび API データの混合をスケーラブルにキャプチャしながら、適切な動作とアクティビティと不適切な動作とアクティビティを自動的に識別できます。

結局のところ、API セキュリティは、可能な限り最高の可視性を実現し、各シナリオを適切に処理するためのリアルタイムのランタイム インテリジェンスを備えることに帰着します。

ウェビナー中に行われた議論では、多くの DevOps および InfoSec の専門家がすでに API セキュリティの重要性を理解しており、スムーズな顧客体験と自動化されたボット対応のアカウント乗っ取りからの高度な保護とのバランスを取ることの価値を認識していることが強調されました。 しかし、認識はあるものの、多くの人々は依然として、これらの課題に取り組むための効果的かつスケーラブルな方法を見つけるのに苦労しています。

これらの困難に対処するために、パネルでは、組織が期待するアプリ主導の成長を保護する責任を負う主要な利害関係者とのコミュニケーションに関するベストプラクティスを強調したいくつかのユースケースとケーススタディを紹介しました。 これらの戦術には、次のような戦略的かつ的を絞った質問をすることが含まれます。

アプリケーション開発: 現在、アカウント乗っ取り攻撃に対して API をどのように保護していますか? API が顧客データを公開したりコンプライアンス リスクを生じさせたりしないことをどのように保証していますか?

セキュリティオペレーション: どのアカウントが脆弱である可能性があるかを完全に把握していますか? API トラフィックを監視して、不正使用や侵害の兆候を検出することはできますか?

ネットワーク操作: ネットワーク インフラストラクチャ全体の API トラフィックをどのように保護していますか? 悪意のあるボットやスクリプトが API を悪用するのではないかと懸念していますか?

ビジネス管理: アカウントのセキュリティは、顧客の信頼を維持し、不正な取引による収益の損失を防ぐために重要です。 違反に関してどのような指標を追跡していますか?

API 駆動型の脅威のほとんどは現在自動化されており、環境の動的な変化に急速に適応し、保護を回避して検出を回避する能力がさらに向上しています。 効果的なAPI セキュリティは、配信プロセスやユーザー エクスペリエンスに支障をきたすことなく、継続的インテグレーション/継続的デリバリー (CI/CD) パイプライン、運用、インフラストラクチャ、ワークフローに高度な自動化された保護を統合する組織の能力に依存します。

Google Cloud と F5 は、データセンター、クラウド、アーキテクチャなど、あらゆる環境で組織が統一された方法でアカウント乗っ取り詐欺に対抗できるように支援するソリューションと専門知識を備えています。 リアルタイムのランタイム API 保護により、DevOps チームと InfoSec チームの連携が容易になり、次のことが可能になります。

• アプリケーションにマッピングされたエンドポイントを自動的に検出
• 不要な接続の許可リストまたは拒否リストを定義して適用する
• ネットワーク、デバイス、環境テレメトリを分析する
• 異常な行動をリアルタイムで検出

ウェビナー「アカウント乗っ取りの脅威を阻止 - API セキュリティに関する会話に参加」の完全なオンデマンド録画にアクセスして、他のユーザーが遭遇した API セキュリティの課題と採用したソリューションについて学んでください。 より効果的な API セキュリティ プログラムを定義して実装する際に、独自のアカウント乗っ取り防止対策に関する多くの質問に対する答えが見つかるものと確信しています。

追加のご質問がございましたら、フォローアップの会話をお待ちしております。 F5 分散クラウド チームの API 保護の専門家に問い合わせ、F5 分散クラウド Web アプリおよび API 保護 (WAAP) シミュレーターをぜひお試しください: https://simulator.f5.com/s/waap