Web Application Protector による API Protection
※本ブログに記載の情報は現在の製品、サービス、機能名称と異なる可能性がありますのでご注意ください
インターネットを流れるトラフィックの中でも、近年APIトラフィックは特に増加傾向にあります。
利用者が増え、トラフィックが増えるにつれて攻撃者たちも活動範囲を広げてきていますのでAPIに対してもセキュリティ対策が求められています。
※ この記事は2019.3.4に執筆されたThe Akamai Blogの記事を翻訳した内容を元に作成しています。
Webアプリケーションを保護する、それは素晴らしいです、しかしあなたの全てのAPIは保護されていますか? そのWebアプリケーションに登録している人の数、アクセスしている人、そして彼らがどんな情報を公開しているか知っていますか?
アプリケーションプログラミングインターフェイス(API)は、開発者が新しいアプリケーションをより速く構築するための優れたツールです。新しいビジネスモデルをより迅速に実装するため、ビジネスの革新に最適です。無制限の数のソフトウェアプログラムが互いに迅速に通信し、速度と量を気にせずにデータを交換できるようにします。指数関数的に増加する数のモバイルアプリケーションが消費者の前で情報を入手するための優れた方法でもあります。
しかし、逆の面も見てみましょう。APIはハッカーの新たな標的です。そして、ハッカーはあなたのビジネスの「クラウンジュエル」に対しそれらの見落とされ大きく開いたドアを使います。これは、APIによって直接アクセスしてビジネスインフラストラクチャに透明性を提供するためです。適切な保護が行われていないと、大きなセキュリティリスクが生じる可能性があります。そして攻撃は、攻撃のスピードと規模のためにマシン間通信の利点を利用します。
あなたの公認のアプリ、パートナー、そして開発者だけがあなたのAPIを使うというのはよくある誤解です。バックエンドインフラストラクチャの弱点を悪用するためのAPIが、ますます多くの攻撃で発見されている可能性があります。インフラストラクチャに2つのドアを開くと考えてください。攻撃者はWebサイトの攻撃でサーバーとデータベースを標的にすることで最初のドアを開きました。今、彼らは第2のドア - API - に狙いを定めており、同じ種類の攻撃をより速く、より大規模に開始しています。
Akamai Intelligent Edgeプラットフォームでトラフィックデータを分析していますが、APIトラフィックへの移行が著しく進んでいます。昨年のトラフィックの80%以上がXMLとJSON APIのトラフィックでした。私達は私達の最も最近のSOTI 報告書の中でより詳細に全体のデータを議論します 。
アカマイのWAFは、調査チームに大量の脅威データを提供し、顧客がどのようにAPIを構築しているのか、そしてトラフィックの種類を明らかにしています。この比類のない知識により、当社のエンジニアはすぐに高い精度で保護を設計できます。当社の顧客は、当社の代表的なWAFであるKona Site Defender (KSD)を使用してAPIを正常に保護しています。Kona Site Defender (KSD)は、高度にカスタマイズされたAPI Protectionおよび完全に自動化された保護のための積極的なセキュリティモデルを提供し、多くのWebプロパティにわたって迅速に保護を拡大します。自動化により、日常的にWAFを管理および微調整する時間や専門知識がないお客様にとって、運用上の複雑さが解消されます。
今、私たちはWeb Application Protector (WAP)にもAPI Protectionを導入しています。
Web Application Protector (WAP)は、あらゆる業界でWebアプリケーションの高度に自動化された保護を提供することで最もよく知られています。これまでのAPI Protection機能は、主にRate Control、Geo blocking、およびIPブラックリストに基づいていましたが、新たにJSONおよびXML形式のAPIリクエストボディを自動的に検出し、検査するためのルールおよび自動化された攻撃グループへ知能が追加され、WAPの保護能力がさらに一歩前進しました。ご想像のとおり、既にWAPをご利用中の場合、デフォルトでオンになっており追加の保護を得るための作業は必要ありません。
WAPは、いくつかのAPI保護層を提供します。
・地域ブロックとIPブラックリストによるネットワーク層の保護
・レート制御と自動攻撃グループによるDDoS防御
・JSONおよびXMLは、新しく高精度のWAFルール検査を通じて保護を利用します。
これらのルールは自動的に更新されます(KSDと同様に)。追加の運用要件はありません。アカマイがあなたのために仕事をします。
追加のプロテクションレイヤーを探しているセキュリティチームのために、これらのソリューションをご紹介します。
・API Gatewayは、APIトラフィックのビジネス管理とガバナンスを引き受けます。
・Kona Site Defender (KSD)は、同じ自動化されたルールセットと積極的なセキュリティモデルを提供します。
・KSDは、Client Reputationをさらに強化して、疑わしいIPクライアントの動作に関するレピュテーションスコアを提供できます。
・Bot Manager。これにより、セキュリティチームは指数関数的に増加する良いボットトラフィックと悪いボットトラフィックを管理できます。
詳細については、ホワイトペーパー「Top API Security Strategies」を参照してください。
Akamai Edge Securityを使用すると、セキュリティの実装を完全に管理できます。また、私たちの自動化されたルールは皆様の日々の業務をこれまで以上に効率化します。
最後に、APIのセキュリティリスクはKSD、WAPのどちらを選択いただいても保護することが可能です。どのソリューションが最適かお悩みの方は弊社営業担当、または弊社パートナー様へお気軽にお問い合わせいただけますと誠に幸いです。
