AkamaiはLayerXを買収し、あらゆるブラウザにエンドツーエンドのセキュリティとリアルタイムのAI利用制御を提供します。 詳細を見る

Akamai、APIセキュリティを強化

Michael Kleef

執筆者

Michael Kleef

June 25, 2024

Michael Kleef

執筆者

Michael Kleef

Michael Kleef is Vice President of Security Product Marketing at Akamai.

6 月 24 日、Akamai は Noname Security の買収を完了しました。API の保護の強化を促進するための計画をお知らせできることを嬉しく思います。

6月24日、AkamaiはNoname Securityの買収を完了しました。APIの保護の強化を促進するための計画をお知らせできることを嬉しく思います。Noname Securityは市場でトップレベルのAPIセキュリティベンダーであり、この買収によって顧客の需要と市場の要求の増大に対応するAkamaiの能力が向上します。

具体的には、AkamaiはAPIトラフィックのある場所にインテリジェンスを拡張し、お客様のどのようなビジネス要件、統合要件、展開要件にも対応できるようになります。

現在、AkamaiはNoname API SecurityとAkamai API Securityの長所を組み合わせた統合製品、Akamai API Securityの開発を推進しています。

APIセキュリティが重要である理由

現在、APIの使用が飛躍的に拡大しています。APIは、私たちの世界と、その世界の体験の原動力です。毎日、私たちがデバイスを使用する際、お気に入りのアプリケーションが複数のAPIと通信して、ソーシャルメディア、ショッピング、銀行取引、託児所にいる子どもの様子の確認など、あらゆることを行います。在宅勤務中には、会社のアプリケーションやサービスと通信するときにAPIを使用します。

APIは世界中のほぼすべての業界で使用されており、デジタルトランスフォーメーション、モバイルおよびIoT(Internet of Things)の導入、オープンバンキングなどのビジネスイニシアチブによってAPIの使用が促進されています。B2BでもB2Cでも、APIを使用することで、経済圏において大規模にビジネスを行えるようにしています。現代的なアプリケーションを作成するほぼすべての企業は、APIを使用してそのアプリケーションを動作させたり、企業間でサービスを統合したりしています。

APIは攻撃者にとって魅力的

その結果、APIは攻撃者にとって最も魅力的なベクトルの1つとなっています。Akamaiのデータによると、API攻撃は前年比で109%増加しています。2023年のレポートでは、78%の顧客が過去12か月間にAPI関連のセキュリティインシデントを経験したと回答しました。APIのセキュリティは優先度が高まっており、Akamaiはお客様のAPI保護を強化しています。

Akamai API Securityに対するお客様の需要はすでに200%増大していましたが、Noname Securityを買収したことにより、Akamaiはこの驚異的な需要の増大をさらに促進できるようになります。AkamaiとNonameはどちらも、この分野で定評のあるリーダーであり、この買収によってAPIセキュリティの業界標準となるために必要なさらなる能力が両社にもたらされます。

WAAPソリューションでは不十分な理由

WebアプリケーションおよびAPI保護(WAAP)プラットフォームは、OWASP API Security Top 10に含まれる攻撃などからWebアプリケーションとAPIを保護する上で重要な役割を担います。しかし、問題を完全に解決するわけではありません。

読者の皆さんの中には、他のベンダーから、WAAPはあらゆるタイプのAPI攻撃に対処できると吹き込まれた人がいるかもしれません。しかし実際には、ほとんどのWAAPソリューションは、攻撃(特に悪用攻撃)を防ぐために必要なAPIセキュリティの可視性と深みをもたらすには至りません。なぜなら、WAAPソリューションは、API要求と応答の間の会話を理解するためのコンテキスト認識機能を備えていないからです。

WebアプリケーションとAPIは同じではない

APIがWebアプリケーションとは異なる動作をすることを考えれば、これは驚くべきことではありません。Webアプリケーションの背後にあるビジネスロジックは隠されていますが、APIのビジネスロジックはインターネットに直接公開されるため、悪用される可能性があります。2024年5月のTechCrunchの記事で、その一例が紹介されています。WAAPプラットフォームでは、このタイプの攻撃を緩和できませんでした。

そのため、AkamaiはこれまでにAPIセキュリティソリューションを進化させるために多大な投資を行っており、この度の新たな買収によって引き続きイノベーションとAPI保護の強化を推進しています。

How Akamai stops these attacks today Better together: How WAAP and API security solutions work together to protect APIs

Akamai API Securityがいくつかの重要な問題を解決

Akamai API Securityは、現在OWASP API Security Top 10で取り上げられている、収益の損失、評判の失墜、情報漏えい、コンプライアンス違反につながる多くのタイプの攻撃に対処します。

AkamaiのAPIセキュリティソリューションは、API環境の可視性、脅威や異常の検知とブロック、APIのアクティブテストを含む、いくつかの重要な問題を解決します。

API環境の可視性

「見えないものは守れない」という格言があります。多くの企業は自社のAPIの数を把握してさえいないため、リスクを定量化することが困難になっています。Akamai API Securityは初めに、お客様のAPIの数を評価します。これには、お客様が活発に使用していて認識しているAPIだけでなく、認識していないまたは見えていないレガシーAPI、シャドウAPI、野良APIも含まれます。Noname Securityのデータによると、同社のAPIセキュリティプラットフォームを利用しているお客様が自社環境内で探索するAPIの数は、当初予想されていたよりも平均40%多いとのことです。

脅威と異常の検知とブロック

API Securityは機械学習を使用して、あらゆる種類のAPIの脆弱性や悪用(データ改ざん、漏えい、誤設定、ポリシー違反、異常なふるまい、直接的なAPIセキュリティ攻撃など)を検知および特定します。

APIのアクティブテスト

シフト・レフト・テストはアプリケーション開発の重要な要素であり、これによって最初からセキュリティが確保されます。しかしこれまでは、APIの開発中にAPIをテストすることはできませんでした。API Securityを使用すれば、APIテストをCI/CDパイプラインに組み込み、APIが本番環境にリリースされる前に問題が解決されるようにすることができます。

Nonameの付加価値

APIセキュリティの市場リーダーの1社であるNoname Securityが加わることで、Akamai API Securityがお客様に提供する保護が即座に拡張されます。Nonameの幅広い統合と展開の選択肢により、Akamaiはベンダー環境の違いを超えてサポートを提供できるようになりました。

組織がクラウド、エッジネイティブ、オンプレミス、またはその他のベンダープラットフォームのいずれを使用していても、Akamai API SecurityはAPI環境のセキュリティを確保できます。Nonameソリューションを追加することにより、Akamaiはあらゆる環境のお客様に総合的なAPI保護を提供するために必要な、リーチとカバー範囲を獲得することとなります。

また、嬉しいことに、次のようなメリットもあります。

  • 柔軟性に富む展開能力 — クラウドホスティング、セルフホスティング、ハイブリッド、分散型のインスタンスで迅速に展開できます

  • 重要なエンタープライズ機能 — ロールベースのアクセス制御、セルフサービス設定、CI/CD統合、ダッシュボード、高度な自動応答が含まれます

  • データ境界の課題がない — メモリー内にある攻撃からのデータを分析し、データが環境から離れないようにします

  • その他の統合 — NGINX、AWS、Azure、F5、Apigee、MuleSoft、GCPなど、業界で最も包括的な統合を提供します。お客様がすでに使用しているものとの統合は重要であり、このソリューションは幅広くカバーします

  • 堅牢なAPIテスト — CI/CDパイプラインに組み込まれたAPIセキュリティの脆弱性が悪用される前に、(ソフトウェア開発ライフサイクルの開発段階で)発見して修復することに重点を置きます

両社の強みを組み合わせた製品

前述のとおり、Akamaiは現在のAPIセキュリティの革新技術とNonameセキュリティソリューションを組み合わせることを計画しています。この統合ソリューションは、あらゆる環境のお客様に包括的なAPI保護を提供します。

統合プロセスでは、次の3つの領域を重視します。

  1. Akamaiエッジネットワークからの接続

  2. App API & Protectorへの接続

  3. 脅威インテリジェンス

Akamaiエッジプラットフォームからの接続

Akamaiは世界最大規模のプライベートネットワークを運営しています。Akamaiのサービスの大半はそのプラットフォームから提供されており、それには市場をリードするセキュリティサービス(App & API ProtectorやProlexic DDoS防御など)、市場トップクラスのコンテンツ・デリバリー・ネットワーク(CDN)、そしてAkamaiのパブリック・クラウド・サービスが含まれています。Akamaiの企業顧客の皆さまからは、Akamaiのプラットフォームから直接、簡単にサービスを利用できることを非常に高く評価していただいております。そのため、AkamaiはNonameを弊社のネットワークに統合し、容易な展開を可能にしようと取り組んでおります。統合は買収後3週間で完了する見込みです。

App API & Protectorへの接続

App & API Protectorは業界最高峰のWAAPプラットフォームです。そのことは、Gartner® Peer Insights™において5年連続で2024 Customers' Choice for Cloud WAAPに選出されたことや、その他のアナリストレビューによって証明されています。この接続により、Nonameによって生成されたふるまいインテリジェンスがApp & API Protector内のWAAPルールをトリガーして、自動で接続をブロックできるようになります。

脅威インテリジェンス

Akamaiは毎日788テラバイト以上のデータを収集し、分析しています。そのデータはすべて、弊社がサービスを提供している主なエンタープライズ顧客基盤において観測される大量の攻撃によって生成されます(1四半期あたり120億件以上のWeb攻撃が観測されます)。そのデータが200人以上のセキュリティ研究者によって分析され、すばらしい脅威インテリジェンスとなります。また、Akamaiはすべての製品で行っているとおり、そのデータフィードをAkamai API Securityにも統合する予定です。

詳細を見る

弊社はAkamai API Securityの未来は明るいと考えており、お客様を総合的に保護することができると確信しています。ぜひこちらからお問い合わせください。APIセキュリティのニーズを満たすためにAkamaiがお客様をどのように支援できるかについて、詳しくご説明します。



Michael Kleef

執筆者

Michael Kleef

June 25, 2024

Michael Kleef

執筆者

Michael Kleef

Michael Kleef is Vice President of Security Product Marketing at Akamai.