API 探索が不可欠なのは、休眠 API、レガシー API、ゾンビ API を含むすべての API を特定してインベントリを作成できるからです。存在しているかどうか不明なものは保護できません。完全かつ正確なインベントリがなければ、ビジネスが重大なリスクにさらされるおそれがあります。
重要ポイント
- API によりアタックサーフェスが拡大:今日のデジタル環境では、API は技術スタックの一部というだけではなく、アプリケーション、クラウドサービス、収益源の中心にあります。Akamai の API セキュリティ・バイヤーズ・ガイドは、お客様の会社の API を保護するソリューションについてベンダーを評価する際、必要としている特定の機能を理解するうえで役立ちます。
- 可視化が不可欠:ほとんどの組織は、新しい API と以前の API の両方を含む API エコシステムを包括的に可視化できていません。このように可視化されていないことで、特に、管理も保護も行われていない休眠 API とゾンビ API が存在する、重大なアタックサーフェスが開いた状態のままになります。効果的な API 探索は、デジタル資産のセキュリティを確保するうえでの第一歩です。
- API 脅威をリアルタイムに検知して修復:API 攻撃は避けられないため、脅威をリアルタイムに検知して対応する機能は不可欠です。高度なツールは、AI と機械学習を使用し、データの改ざん、漏えい、疑わしいふるまいがないか監視します。既存のセキュリティワークフローとシームレスに統合して、攻撃をブロックし、修復を自動化します。
- シフトレフトの API セキュリティテスト:開発チームが API セキュリティテストを開始するまでに多くの時間を要することが少なくないため、本番環境に脆弱性が紛れ込むおそれがあります。開発工程の早い段階でテストを始めるシフトレフトアプローチは、攻撃を防止し、コンプライアンスを向上し、API エコシステムの信頼性を向上するうえで不可欠です。
よくあるご質問
主な課題の最初は、API とそのリスクを可視化できないことです。API の設定ミス、API のコーディングミス、認証制御の欠如といった脆弱性を特定して対処する必要があります。OWASP Top 10 API リスクに挙げられているような、進化を続ける API 攻撃手法を理解し、保護することも、API セキュリティポスチャを管理するうえで重要です。新しい API の迅速な開発と導入によってこうした問題が複合化する可能性があります。新しい API が、機微な情報を交換し、大きな犠牲を伴う API 侵害の入口になることが少なくありません。
リアルタイムの脅威検知は、異常、データ改ざん、ポリシー違反がないか、API トラフィックを継続的に監視します。脅威が検知されると、セキュリティチームに警告します。理想的には、攻撃を自動的にブロックまたは修復して、データ窃取やその他の悪性の活動を防止します。
API セキュリティテストのシフトレフトアプローチとは、API が本番環境に移行されるまで待つことなく、開発工程の早い段階にセキュリティテストを組み込む手法です。これが重要なのは、脆弱性を早期に特定して修正し、攻撃が成功するリスクを軽減し、最初から API のセキュリティを確保できるからです。
主な機能としては、タイプや構成に関係なく API を検索してインベントリを作成する機能、休眠中の API やレガシー API を検知する機能、不明なドメインを特定する機能、重要な問題がないか自動的にスキャンする機能、インフラの主要な構成要素との事前統合によりカスタム開発を最小限に抑える機能などがあります。
カスタマイズ可能な重大度レベルにより、特定のリスク許容度、規制要件、社内ポリシーに基づいて、修復作業の優先順位を設定できます。これにより、最も重要な脆弱性に最初に対応し、リソースをより効果的に管理し、全体的なリスクを軽減することができます。