API 攻撃とは、API を悪意のある目的、あるいは許可されていない目的で使用する試みのことです。API 攻撃には、次のようなさまざまな形態があります。
- API 実装における技術的な脆弱性の悪用
- 正当なユーザーになりすますために、盗んだ認証情報やその他のアカウント乗っ取り技術を使用
- 想定外の方法で API を使用することを可能にするビジネスロジックの乱用
増大する API 攻撃の脅威
API は今日、いたるところに存在します。インターネット上でのアプリケーションやサービスのサポートから、モバイルアプリやクラウドベースのカスタマーサービスの強化まで、API はビジネスの運営、俊敏性、競争力にとって重要です。この点がまた、サイバー犯罪者にとって非常に理想的な標的にもなります。
API 攻撃を防ぐことは、簡単ではありません。こうしたデジタル資産のセキュリティを確保するという課題は、最新の DevOps 手法、クラウドへの移行、および絶えず変化する API 製品によって複雑化しており、これにより新たなレベルの複雑さがもたらされます。
Akamai App & API Protectorは、API の資産に対して強力で包括的な 脅威防御 ソリューションを提供します。App & API Protector は、シンプルで使いやすい設計でありながら、現在利用可能な最高レベルのセキュリティ自動化機能をいくつも備えています。この Akamai ソリューションを使用すると、API 攻撃をブロックすると同時に、さまざまな脅威から Web サイトやアプリケーションを保護し、アタックサーフェスを最小限に抑え、IT 管理者の負担を軽減できます。
API 防御の課題
API を使用すると、ソフトウェアアプリケーションとオペレーティングシステムが相互に迅速かつ容易に通信できるようになるため、ビジネスのペースを加速し、コラボレーションを強化し、Web 上の場所のパフォーマンスを向上させることができます。しかし、組織が従来型の ネットワークセキュリティ ソリューションを API 防御に使用していると、侵害を防げる可能性は低くなります。
一般的な API 攻撃には、次のような既知の攻撃ベクトルが複数含まれます。
- 中間者攻撃 （MITM）は、ハッカーが通信チャネル内の 2 つのエンドポイント間の通信やリクエストを静かに傍受し、機密情報を盗めるようにします。
- DDoS 攻撃 （分散型サービス妨害攻撃）は、数千の接続を同時に要求することで API のメモリを過負荷にし、使用可能なすべてのリソースを接続させることでクラッシュを発生させようとします。
- SQL インジェクション攻撃 では、悪性コードを開発が不十分なプログラムに挿入するだけで、ソフトウェアにアクセスできます。
- 安全でない API キー生成 では、攻撃者は、大規模なユーザープールからさまざまな API キーを生成して使用することで、従来の API セキュリティツールを破壊できます。
- 不十分なロギングとモニタリング によって、ハッカーが最初の脆弱性を足がかりにさらなる弱点を探せるようにします。
- アクセス制御の不備 を利用することで、攻撃者が特権機能にアクセスしたり、Web サイトのコンテンツを変更または削除したり、機微な情報を盗んだりすることを可能にします。
Akamai が選ばれる理由
Akamai で API 攻撃をブロックする
Akamai App & API Protector は、包括的な Web アプリケーションおよび API 保護ソリューションを提供します。これによって、IT セキュリティ戦略を強化し、新たなリスクに対する知見を提供し、IT チームがセキュリティギャップを特定し、API 攻撃を阻止することができます。
この Akamai ソリューションは Adaptive Security Engine を搭載し、Web アプリケーションファイアウォール、ボット緩和、DDoS 防御のための サイバーセキュリティソリューションと同様に、API セキュリティにおける業界をリードする多くのコア技術を組み合わせたものです。
Akamai App & API Protector は、セキュリティチームに以下のようなメリットをもたらします。
- API アタックサーフェスの縮小。API は、効果的な Web 体験を実現するための必須メカニズムですが、バックエンドのデータやロジックも公開してしまう場合があります。Akamai のソリューションは、API を自動的に検出し、OWASP API Security Top 10 などの脆弱性から API を保護します。
- API 攻撃の阻止。 脅威検知 機能が App & API Protector に含まれており、アクセスコントロールの破損、SQL インジェクション、自動ボットネット、ボリューム型 DDoS など、さまざまな脅威から Web サイト、アプリケーション、API を保護します
- 。メンテナンスのシンプル化。Akamai は、自動更新と自動セルフチューニングを利用することで、強固な API とアプリケーションのセキュリティを維持できるようにします。これにより、アラート疲れを防止し、チームが誤ったアラートではなく実際のサイバー攻撃を調査することができます。
- マルチレイヤーソリューションの導入。Akamai を活用することで、Web アプリの保護、ボットの可視化と緩和、DDoS 防御、SIEM コネクター、Web 最適化、エッジコンピューティング、API アクセラレーションなどのソリューションで、サイバー脅威セキュリティテクノロジーへの投資を最大限に活用できます。
Akamai App & API Protector の機能
Akamai App & API Protector は、API 攻撃を阻止する高度なテクノロジーを提供します。保護は可視化することから始まります。Akamai のソリューションを使用すると、Web トラフィック全体で、既知の API、未知の API、変化する API をすべて自動的に検出できます。これにより、チームは隠れた攻撃から保護し、エラーを検出し、予期しない変更を特定できます。新たに発見された API は、Akamai のテクノロジーにより数回クリックするだけで簡単に登録できます。App & API Protector は、API が登録されているかどうかに関係なく、すべての API リクエストの悪性コードを自動的に検査し、デフォルトで強力な API セキュリティを確立します。
App & API Protector のその他の機能は以下のとおりです。
- ボットの可視化と緩和。App & API Protector は、ボットトラフィックをリアルタイムで可視化し、不要なボットを検知して阻止する機能を備えています。
- 自動更新。Akamai の脅威リサーチャーが、毎日 454 TB を超える攻撃データを分析し、新しいベクトルを突き止め、既存のベクトルの変更を特定します。この調査から得られた知見は、強力な保護を実現するために、自動的に適応型セキュリティエンジンに送られます。
- DOS／DDoS 防御。Akamai は自動的にネットワークレイヤー DDoS 攻撃をエッジで防ぎ、アプリケーションレイヤー攻撃を数秒以内で迅速に緩和します。
- レポートツール。Akamai のダッシュボード、アラート、レポートツールを使用すると、攻撃の詳細なテレメトリやセキュリティイベントの分析にアクセスできます。IT 管理者は、静的フィルターとしきい値を使用して、リアルタイムの電子メールアラートを作成できます。Web セキュリティのレポートツールは、API 攻撃に対する防御の効果を継続的に監視および評価します。
- オンボーディングのシンプル化。使いやすいウィザードで、統合や設定のワークフローを使用してプロパティを簡単にオンボーディングできます。これによりオンボーディングプロセスが合理化・シンプル化されます。
よくある質問（FAQ）
アプリケーション・プログラミング・インターフェース（API）は、2 つのアプリケーションが相互に通信できるようにするソフトウェアプログラムです。API は、アプリケーション開発作業をシンプル化および高速化し、顧客、パートナー、ベンダー、外部ユーザーとのコラボレーションを向上させます。
API 攻撃とは、攻撃者が API に不正アクセスしてシステムやネットワークに侵入したり、データを転送したりする試みのことです。攻撃に成功すると、攻撃者は業務を妨害したり、データ、金銭、または認証情報を盗んだりすることができます。ほとんどの API 攻撃では、API 自体のセキュリティ上の脆弱性を利用します。
API 攻撃に対する最善の防御策は、多層的な防御アプローチを取ることです。API を識別し、その脆弱性をテストし、Web アプリケーションファイアウォールテクノロジー、多要素認証、ボット管理ソリューション、DDoS 防御、その他の最先端の防御など、さまざまな保護機能で API を防御できるセキュリティソリューションが必要です。
データ窃取は、API 攻撃と悪用が成功した場合に頻繁に発生します。API 攻撃や悪用を通して攻撃者に盗まれた機密性の高い非公開情報を指す場合もあります。しかし、API の悪用は、一般に公開されているデータを積極的にデータスクレイピングして、集合体として価値のある大規模なデータセットを作成するような、それほど深刻ではない場合にも使用されます。
