ブログの検索

APIは顧客との対話や交流を快適にしてくれますが、外部から攻撃しやすくなります。APIを保護する方法

シームレスなサービスを顧客に提供するため、企業はアプリケーション・プログラミング・インターフェイス(API)に大きく依存しています。APIは、内部顧客や外部顧客との交流や対話を円滑化する方法として譲れない側面です。APIは今では至る所で導入され、世界中のウェブアプリケーションの半数近くがAPIを使用しています。

多くの業務がクラウドに移行してDevOpsに切り替わっていく中、私たちもコンテナ化やマイクロサービスの使用を強化していますが、これらすべてはAPIに大きく依存しています。これはデジタル市場に関わり、競争力を維持する上で必要なステップである一方、API統合に関連する膨大な数のインタラクションとタッチポイントが企業のアプリケーションやデータをこれまで以上に危険にさらしています。

残念ながら、通常APIはその実装と内部構造を自己文書化するため、サイバー犯罪者に悪用されがちです。さらに、以下のような多数の脆弱性が見られます。

  •   暗号化の欠如
  •   脆弱な認証
  •   ビジネスロジックの欠陥
  •   セキュリティ保護されていないエンドポイント

 これらすべてが合わさって、APIは攻撃者にとって魅力的な攻撃対象となるため、ITセキュリティチームは一丸となって様々な脅威と課題に対処しています。2018年に250人のIT担当者を対象に実施したAPIセキュリティに関する社内調査によると(英語版ブログあり)、この分野の主な関心事は以下のとおりです。

  •   39.2% – ボット攻撃とDDoS攻撃
  •   24.4% – 認証の実行
  •   14.8% – APIコンテンツの検証による攻撃検知
  •   13.6% – 攻撃プロファイリングの必要性

 では、これらの課題に取り組み、日々洗練されていく脅威に対抗するために、実施すべきベストプラクティスとは? 企業のセキュリティソリューションに、最低限、以下が組み込まれていなければなりません。

 認証 – つまり、エンドユーザーの身元を正確に判断することですが、攻撃者が正体を隠して自由に操る高度な手法を考慮すると、ますます困難になっています。

 権限 – ユーザーが誰かを識別できたら、そのユーザーが特定のリソースにアクセスする権限があるかどうかを知る必要があります。例えば、指定の管理者以外は、読み取り専用リソースにしかアクセスできません。

 検証 – ペイロードをスキャンしながら、APIコールをスキーマやその構造と照合して検証する機能が必要です。これは、コードインジェクション攻撃やパーサー攻撃などの一般的な攻撃を防止する場合に不可欠です。

ウェブ・アプリケーション・ファイアウォール(WAF)は、アプリケーション間に通信ルールセットを適用および強制して上記の結果を達成できるので、企業のセキュリティキットの最も重要な構成要素になっています。これはエクスプロイトの防止とアプリケーション層のDDoS攻撃の緩和に有効で、APIプラットフォームのセキュリティ保護によく使用されます。

 Impervaのように、APIに特化したセキュリティを提供しているベンダーもあります。DevOpsチーム作成のOpenAPI仕様ファイルを使用しているImperva API Securityは、正当なトラフィックのみがAPIにアクセスできるポジティブセキュリティモデルを自動生成します。これには、API SecurityソリューションとRed Hat 3scaleのAPI管理プラットフォーム間をシームレスに統合する新製品が含まれています

最終的に、APIのセキュリティを保護するには、ITセキュリティチームが普段どおりアプリケーションセキュリティのベストプラクティスを適用すると同時に、ImpervaのAPI Securityなどの先進的なソリューションも使用して、混沌としたAPI環境とそれに伴う動的な脅威に対処する必要があります。

ImpervaがAPIの悪用から守る方法について詳しくは、ウェビナー「API Security: Discover Complete Visibility Throughout Your API Endpoints」(英語版のみ)をご覧ください。当社の専門家、Ziv GrinbergとMichael Wrightが司会進行を務めます。Swaggerファイルの簡単なアップロードを実演し、API SecurityソリューションがOpenAPI仕様ファイルを基にポジティブセキュリティモデルを自動的に実行して、DevOpsチームによるAPIの公開とセキュリティ保護を支援する方法をご紹介します。