ブログ

F5 は API を保護するために左にシフトしています

チャック・ヘリン サムネイル
チャック・ヘリン
2024年2月7日公開

アプリケーション プログラミング インターフェイス (API) は、現代のデジタル生活の隠れた中枢神経系です。 毎日、API は、お気に入りのお店で最初のコーヒーを購入したり、オフィスのドアにバッジを付けて入ったり、同僚とランチに行くためにライドシェアをしたり、天気をチェックしたり、長い一日の終わりに座って大好きなテレビ番組をストリーミングしたりするために使用するアプリを動かしています。 私たちが日々やり取りするほぼすべての組織は、そのように考えているかどうかにかかわらず、デジタル ビジネスを推進するために API に依存しています。

API ファーストのソフトウェア開発と配信の台頭により、世界は数え切れないほど良い方向へ変化しました。 しかし、問題があります。アプリケーションとアーキテクチャが変化すると、攻撃対象領域も変化します。 WAF、DDoS、ボット保護などの従来のセキュリティ対策は依然として重要ですが、これらの API を完全に保護するには不十分です。 これらは、その日の攻撃対象領域に合わせて構築されたもので、将来の攻撃対象領域や、ここ数年の API の急速な導入によってもたらされた変化を予測することはできませんでした。

アプリケーションおよび API セキュリティの世界的リーダーである F5 のテクノロジーは、世界中のアプリケーションのほぼ半数のデータ パスに存在し、最新の Web アプリケーションやモバイル アプリケーションへの攻撃を独自の視点で監視します。 当社の分析によると、現在、Web ベースのサイバー攻撃の 90% 以上が API エンドポイントを標的としており、セキュリティ チームによって積極的に監視されていない API によって露出される、新しい、あまり理解されていない脆弱性を悪用しようとしています。

攻撃と攻撃対象領域が変化するにつれて、防御も適応する必要があります。 業界が現在、生成型 AI に重点を置いていることから、人工知能と機械学習 (AI/ML) モデルをサポートするアプリと API の数が急増し、複雑さがさらに増しています。 現代の企業には、リスクが拡大して高額で恥ずかしい、そして多くの場合は予防可能な侵害に発展する前に、リスクを発見して軽減することに重点を置いた動的な防御戦略が必要です。

こうした急速な変化のペースにより、あらゆるタイプの組織にとって重要な API のセキュリティ保護が大きな課題となっています。 すでに手一杯になっている開発者や防御者のチームは、自社が使用している API の数や場所、また、これらのインターフェースがサポートする重要なデータやビジネス プロセスに関連するコンプライアンスやその他のリスクさえも把握していないことがよくあります。

テクノロジーは常に変化していますが、API セキュリティ現象はサイバーセキュリティの基本原則を強調しています。 NIST のような主要な制御フレームワークが、ほとんどの場合、最初に「識別」から始まるのには理由があります。 簡単に言えば、見えないものを保護することはできませんし、理解できない攻撃対象領域のリスクを効果的に管理することは不可能です。

クレジット: N. ハナチェク/NIST

API の盲点は根本的な問題となっており、今日では API に関しては多くの組織が盲目的に行動しています。 ガートナー社やその他の業界アナリストは、少なくとも 2019 年から API が最大の攻撃ベクトルになると予測しており、当社のデータもその主張を裏付けており、減速の兆候は見られません。

サイバーセキュリティ業界は、これまでのところ、主に API 開発のさまざまな側面に特化したポイントソリューションで対応してきました。 このような製品は、使用中であることがわかっている API を見つけるための API 検出や、脆弱性を見つけてそのギャップを埋めるためのスキャンおよびテスト ツールなど、多様ではあるものの限られた機能を提供します。

しかし、API セキュリティの将来は、自分で寄せ集めて統合しなければならないポイント ソリューションのセットではありません。 F5 分散クラウド サービスを入力します。

会社の将来を築くには、会社を将来に向けて準備する必要があります。

F5 の分散コンピューティングとアプリケーション セキュリティの業界リーダーは、API が重要視されるようになることを予見し、5 年前に革新的な機能スイートの構築を開始し、F5 分散クラウド サービスとして市場に投入しました。

今日の AI 搭載アプリは、オンプレミス、クラウド、エッジのデプロイメント全体にわたるデータ ソース、モデル、サービスの分散配置に依存しており、急速に増加する API によって結合されています。 お客様がこれらの複雑に絡み合った課題と機会を乗り越えられるよう F5 は高度な API コード テストとテレメトリ分析を F5 Distributed Cloud Services に導入し、業界で最も包括的で AI 対応の API セキュリティ ソリューションを作成することを発表いたします。 API セキュリティの革新企業 Wib から最近取得した機能の追加により、アプリケーション開発プロセスにおける脆弱性の検出と観測が可能になり、API が実稼働に入る前にリスクを特定してポリシーを実装できるようになります。

API セキュリティの将来と同様に、 F5 分散クラウド プラットフォームは、すべてのエンタープライズ コンピューティングの将来を見据えて構築されており、次の重要な属性を共有しています。

  • マルチクラウド
  • APIファースト
  • AI搭載

最高のものをさらに良くする

F5 は、Web アプリケーションおよび API 保護 ( WAAP ) サービスの F5 Distributed Cloud スイートで、強力な API 検出および保護をすでに提供しています。 このプラットフォームは、API の堅牢なスキーマを自動的に作成および検証し、実用的な洞察で API のリスクを明らかにし、AI/ML を活用して複雑な API 攻撃を軽減するなどの機能を備えています。 F5 は、Distributed Cloud WAAP と NGINX App Protect、BIG-IP Advanced WAF を組み合わせることで、あらゆる場所のあらゆるアプリと API を保護できる独自の機能を顧客に提供します。

そして現在、F5 は API ライフサイクル全体に対応するために左にシフトしています。

Wib プラットフォームとF5 Distributed Cloud API Securityを組み合わせることで、業界で最も包括的な API セキュリティ ソリューションが実現します。

これを実現するために、現在の API 検出および保護機能を次のように強化しています。

  • API コード分析により、API エンドポイントを検出し、本番環境に展開する前にそのリスクを評価します。
  • 脆弱性を調査し、コードとトラフィック分析で検出された疑わしい脅威を検証するためのAPI テスト
  • 顧客の規制要件に準拠した適切な API セキュリティ体制を確保するためのAPI コンプライアンス分析
  • API 脅威表面評価は、組織の公開資産を監視して、新しい API の出現やセキュリティ ガバナンスの範囲外の API を検出します。
  • API セキュリティ融合エンジンにより、あらゆる脅威、脆弱性、または洞察がすべての情報ソースにわたって検証される、シームレスに統合されたソリューションが作成されます。


Wib の元 CTO であり、最近 F5 に入社した私も、Wib の機能を F5 Distributed Cloud Services に導入することにチームと同じ喜びを感じています。私たちはすでに、世界でかつてないほど堅牢で包括的な API セキュリティ プラットフォームを提供するために、自社のテクノロジーを統合する作業に全力で取り組んでいます。

コードからクラウドまで真の可視性とセキュリティを備えた世界初の総合的なアプリおよび API セキュリティ ソリューションで、アプリと API のセキュリティを確保しましょう。

どこでも実行でき、どこでも安全 - F5 ならではです。