ブログ

API セキュリティでは、油断は敵です

チャック・ヘリン サムネイル
チャック・ヘリン
2024年4月30日公開

現代のソフトウェア開発の分野では、API のセキュリティは現代のデジタル アーキテクチャの重要な柱です。 企業の相互接続が進むにつれて、API はこれらのシステムを結び付ける重要なリンクとして登場します。 彼らの役割は基本的なものですが、この中心性こそが重大なセキュリティ責任を生み出します。 生成 AI の台頭は、ユースケースに関係なく、ほとんどの AI 使用で主要な通信手段として API エンドポイントが呼び出されるため、API 採用にさらなる追い風をもたらします。

API の保護は、個々のソフトウェア コンポーネントの防御を超え、エコシステム全体の整合性を維持することです。 これらのインターフェースは、コアビジネスロジック、データ、機能を外部に伝達し、金銭的な損害を引き起こすだけでなく、組織への信頼を損なう可能性のある壊滅的な侵害の媒介になる可能性があります。

最後の戦争を戦わないで

サイバーセキュリティの戦場は常に変化しており、API や AI を活用した攻撃は従来の脅威とは一線を画しています。 もし我々の防衛が過去の犯罪だけに基づいているなら、我々は最後の戦争を戦っていることになる。それは失敗する運命にある戦略だ。 API や AI システムに対する猛攻撃は、これまで私たちが耐えてきた攻撃とは根本的に異なります。 最も洗練された Web アプリケーション ファイアウォール (WAF) を含む従来のテクノロジーは、現代の API および AI の脆弱性の微妙な違いには対応できません。 防御は攻撃に基づいて行う必要があり、新しいアーキテクチャは、従来のプロセスでは対処するように設計されていなかった新しい攻撃対象領域を公開します。 私たちの防御戦略は、私たちが直面する脅威と同じくらい動的かつ微妙なものでなければならず、攻撃パターンの変化に対応するために常に進化する必要があります。

新しい前線を受け入れよう

API セキュリティは現在、ほぼすべてのソフトウェア開発の基盤となっており、API は現代のアーキテクチャに不可欠なものとなっています。 API ファーストの開発戦略と AI モデルの使用の増加により、API への依存度が急増しました。 実際、当社のグローバル ネットワーク全体で観測される攻撃の 92% は API エンドポイントに対する攻撃であり、攻撃者にとって API エンドポイントがいかに魅力的であるかがわかります。 また、ボットや自動攻撃の分野では、被害のおよそ 90% が最も効果的な 10% の攻撃者によって引き起こされていることもわかっています。 API セキュリティ戦略が適切でない場合、現在および将来にわたって防御アーキテクチャの重要な部分が欠落していることになります。 これは単なるギャップではなく、大きな溝です。

私たちにできること

私の考えでは、これに関して私たちが実行できる重要なことがいくつかあります。

API 攻撃の蔓延と新規性を認識します。 現在および将来のデジタル フレームワークは API に基づいていることを認識します。 API トラフィックは現在、Web トラフィックの大部分を占めており、API セキュリティを無視することはできません。API セキュリティを徹底的に調査し、理解し、優先順位を付ける必要があります。

進化する脅威に対抗する武装。 昨日の防御対策は今日の API および AI の脅威に対して不十分であることを理解してください。 OWASP などのグループが API と AI の脆弱性に関する新しいトップ 10 リストを作成しているのには理由があり、防御はアーキテクチャと攻撃方法のこれらの変更に適応する必要があります。 F5 は、これらの最新の攻撃の性質に関する知識と、それに対応するために開発したソリューションを共有することで、インフラストラクチャの強化を支援できます

部分的な解決策の限界を理解する。 コードから顧客までのライフサイクルの一部にのみ焦点を当てたセキュリティ戦略では不十分です。 可視性が重要です。 コード、トラフィック、サードパーティ統合など、API がどこに存在するかを包括的に把握しなければ、API を完全に理解、文書化、テストすることはできません。 この理解不足は、予期しない入力を予測して対応する能力に直接影響します。 また、コードの更新やインフラストラクチャの変更ごとに API サーフェスが変化する流動的な環境では、常に注意を払うことが不可欠です。

エンドツーエンドの可視性と自動化を実現します。 専用のエンドツーエンド ソリューションだけが、API 環境の急速な進化に対応するために必要な完全な可視性を提供できます。 手作業だけではもはや十分ではありません。継続的な変更を捕捉し、包括的な監視と文書化を確実に行うには、自動化が不可欠です。 さらに、テクノロジーだけでは人やプロセスの問題を解決することはできませんが、思慮深いテクノロジー設計により、組織内の複数の関係者が理解を深め、複数のチームが協力して作業しやすくなります。

警戒義務

結論として、API セキュリティの領域は、容赦ない変化と絶え間ない警戒の必要性を特徴としています。 デジタル環境が進歩するにつれて、敵の手法も進化します。 デジタル資産の保護に取り組んでいる私たちにとって、情報を入手し、機敏性を維持することが不可欠であり、攻撃対象領域は主にアーキテクチャによって決まることを覚えておく必要があります。 セキュリティは単なる技術的な課題ではなく、API 設計から展開まで、私たちの仕事のあらゆる側面に影響を与える文化的な課題です。 お客様が当社に寄せる信頼と、デジタルの未来のセキュリティには、それ以上のものが求められます。

API セキュリティにおいては、「自己満足はまさに敵である」という格言が真実です。 私たちは、最後の波ではなく、次の波のデジタル脅威に対する防御を強化しながら、警戒を怠らず、積極的に行動する必要があります。 デジタル世界の未来はこれにかかっています。