AkamaiはLayerXを買収し、あらゆるブラウザにエンドツーエンドのセキュリティとリアルタイムのAI利用制御を提供します。 詳細を見る
Background

レガシーからAIまで、すべてのAPIのためのAPIセキュリティソリューション

AI時代のためのAPI保護 

GenAIワークフロー向けのAPI保護

レガシーからGenAI、LLM、MCPサーバーまで、すべてのAPIに対して即時の可視性と保護を提供します。攻撃を検知し、急速に拡大するこのアタックサーフェスに存在するリスクを修正できるようにするために、脆弱性を特定し、APIのふるまいを分析する方法を説明します。

This graphic shows how API Security threat detection works from deployment to uncovering threats to investigation of threats.
This graphic shows how API Security threat detection works from deployment to uncovering threats to investigation of threats.

APIセキュリティリスクが広がる前に発見し、修正する

API資産全体を探索

シャドーAPI、ゾンビAPI、AI関連APIを自動で探索、インベントリ化、タグ付けすることで、即時のガバナンスとコンプライアンスを実現します。

脆弱なAPIを特定

APIセキュリティのベストプラクティス

を用いて、OWASP API Top 10のすべてを含む、攻撃者が標的とするAPIの脆弱性や設定ミスを監査します。

APIの悪用と自動化された攻撃を阻止する

コンテキストに基づいた知見を利用し、データ漏えい、不審なふるまい、悪性ボット、API攻撃などのリスクを特定します。

API Securityのライフサイクル全体における動作をご覧ください

探索

APIの数や種類などの情報を含む包括的なAPIインベントリを生成します。

テスト

スピードを犠牲にすることなくCI/CDパイプラインにセキュリティを追加し、本番環境への移行前にAPIのセキュリティを確保します。

検知

機械学習を活用した自動検知により、APIの脆弱性と攻撃を特定します。

対応

WAF、SIEMシステム、ITSMツールと統合することで、APIのイシューを修正する高度なワークフローを作成します。

最新APIセキュリティソリューションの主要機能

  • GenAIモデル、LLM、AIサービスに接続するすべてのAPI(シャドーAPIや未管理のエンドポイントを含む)を自動で探索し、棚卸し、タグ付けします
  • Akamai CDNへのネイティブ接続を利用してAPIトラフィックを評価し、ソースコード内のAPIを特定して、APIがアクセスできる機微な情報の種類を把握します
  • 異常な使用、API攻撃、データ漏えい、改ざん、ポリシー違反を特定して、APIの悪用を阻止します
  • OWASP Top 10 APIセキュリティリスクに照らしてAPIを分析し、影響ごとに脆弱性の優先順位を付けて迅速に修復します
  • ビジネスロジック、物理ネットワークインフラ、およびAPIトラフィックフローの視覚化によってAPIコンテキストを理解します
  • API攻撃をブロックし、ワークフローの設定による修復を迅速化し、Managed Security Serviceの活用によるSOCの効果を向上します
  • モデルコ・ンテキスト・プロトコル(MCP)サーバーに接続されているAPIを検知し、影の統合を特定して、安全なAIエージェントの導入を確保します
  • 規制要件、業界標準、社内ポリシーへのコンプライアンスを継続的に監視します
  • 既存のCI/CDパイプラインと完全に統合し、悪性トラフィックをシミュレートする200以上のテストを自動的に実行します
godrej Industries Group logo

Godrej

グローバルな複合企業がサイバー防御を最新化し、Akamaiの統合セキュリティポートフォリオにより99.9%に迫るアップタイムを達成しました。

novant health logo

Novant Health

Novant Healthは、Akamai API Securityを活用した可視化、データ保護、「シフトレフト」テストにより、APIのリスクを検知し、緩和しています。

commerzbank logo

Commerzbank

ドイツの大手銀行が、プロアクティブな脅威検知と強化されたAPI制御により、毎月60億件のAPIコールのセキュリティを確保しました。

AI、テスト、インベントリ、ランタイムリスクにおけるAPI Securityのユースケース 

Akamai API Securityは、エージェント型AIの脅威からAPIを保護し、安全なアプリケーション配信を確保するのに役立ちます。

AIセキュリティ

API向けのAIセキュリティは、従来型アプリケーションとAI対応アプリケーションの両方を狙う高度な脅威に対して、先手を打った防御を提供します。GenAIモデル、LLM、およびAIサービス(シャドーエンドポイントや管理されていないエンドポイントなど)とやり取りするAPIを自動的に探索して分類することで、セキュリティチームにリアルタイムの可視性を提供し、ガバナンスの強化やコンプライアンスリスクの軽減を実現します。

APIを本番環境に導入する前にテスト

API Testingは、組織の「シフトレフト」、すなわちAPIを稼働させる前に、ソフトウェア開発ライフサイクル(SDLC)の早い段階でビジネスロジックの悪用などの脆弱性を検知し、修正することを支援します。そのため、APIセキュリティ戦略にとって重要な役割を果たします。
APIテストを行うことで、OWASP Top 10 APIセキュリティリスクの脅威に対するテストなど、悪性トラフィックをシミュレートする150以上の動的テストを自動的に実行します。スケジュールを作成して、開発の任意の段階に任意の間隔で自動的にテストを実行できます。

企業全体のAPIのインベントリを取得する

組織全体の全APIの包括的なインベントリを継続的に更新し、維持することは、あらゆるAPIセキュリティ戦略の基盤となる重要な機能です。API攻撃に関連するリスクは重大であるため、オンデマンドの探索や1日1回の探索では不十分です。さらに、セキュリティ、開発、運用の主要なチームメンバーが、APIがどのように使用または悪用されているかを理解できるようにするためには、実際のAPIのふるまい(APIコール)を視覚化する必要があります。そうすることで、組織のすべてのチームでのコミュニケーションと調査が容易になります。

API Securityは、さまざまなテクノロジーやインフラのAPIの探索を自動化し、継続的に実行します。また、新たに展開されたAPIを特定し、そのAPIのプロパティを既存のドキュメントと比較します。API Securityは、見逃されることの多いシャドーAPIや、OWASP Top 10 APIセキュリティリスクに記載されている既知のAPIの脆弱性を検知できます。

API探索は継続的なプロセスであり、Akamaiは新しいAPIと既存のAPIへの変更を24時間体制で継続的に監視します。お客様のセキュリティチームは、他に類を見ない可視性を手に入れ、開発者が新しいAPIやサービスを展開したことを真っ先に知ることができます。

APIのリスクポスチャを把握

APIは、企業が展開するあらゆるデジタル製品とサービスに活用されています。そのため、APIの範囲と規模が拡大しているのは当然です。しかし、このような急速な普及により、APIスプロールが発生し、アタックサーフェスが変化しています。

現在の攻撃者は、ソフトウェアのバグや設定エラーなど、次の目的で悪用できるAPIの脆弱性を探しています。

  • 機密性の高いアプリケーション機能へのアクセス
  • 機微な情報の発見、侵害、窃取
  • 悪性の方法でのAPIの悪用

OWASP Top 10 APIセキュリティリスクは、組織が特定と対処を試みる必要がある、最も一般的に悪用されているAPIの脆弱性と脅威について、有益な情報を要約して提供します。

APIセキュリティを実行することで、セキュリティチーム、開発者チーム、およびAPIチームに潜在的なリスク、設定エラー、脆弱性を迅速に通知し、脆弱なAPIや誤って設定されたAPIが原因で企業がAPI攻撃にさらされるのを防ぐことができます。また、パートナーによるAPIの設定に誤りがあるのか、またはコードに脆弱性があるのかを、簡単に見極めることができます。

コンテキストアラートと条件付きアラートは、Jiraチケットの自動作成など、既存のワークフロー内でシームレスに機能するため、問題の迅速な解決が可能になります。

APIの悪用を監視

APIはプログラマティックに使用するように設計されているため、正当な使用と攻撃や悪用を区別するのは極めて困難です。

API攻撃の手法はさまざまですが、最も一般的な手法には次のようなものがあります。

  • ビジネスロジックの悪用。ビジネスロジック攻撃は、アプリケーションの設計上または実装上の欠陥を突いて、攻撃者に利益をもたらす想定外のふるまいや許可されていないふるまいをさせることです。
  • 不正なデータアクセス。この攻撃手法は、認証や承認の機能が破損していることを悪用し、制限された情報にアクセスすることができます。
  • アカウントの乗っ取り。アカウントの乗っ取りは、認証情報の窃取またはクロスサイトスクリプティング攻撃に依存して、正当なユーザーになりすましてAPIを悪用する手法です。
  • データスクレイピング。悪意のある攻撃者が、大量の貴重なデータセットの大規模なキャプチャを実行するために、公開されているリソースを積極的にクエリーする場合があります。
  • ビジネスサービス妨害(DoS)。無制限のAPIコールにより、アプリケーションレイヤーで「サービスの崩壊」または完全なサービス妨害が引き起こされます。

これらの潜在的なAPIセキュリティリスクを検知して防止するためには、より広範なアプリケーションセキュリティ戦略の一環として、専用のAPIセキュリティソリューションで使用できる高度な制御を使用する必要があります。

よくある質問(FAQ)

よくある質問(FAQ)

Akamai API Securityはベンダーに依存しないAPI脅威防御ソリューションであり、他のAkamaiソリューションを使用する必要はありません。Akamaiのセキュリティソリューションを補完するAPI Securityでは、APIへの攻撃がさらに巧妙化して新たな検知手法や自動対応が必要になっても、お客様は包括的な保護を受けられます。

App & API ProtectorとAPI Securityは、Akamaiがお客様のビジネスを保護するために提供する2つの異なるソリューションです。

  • App & API Protectorは、Akamai Cloud上で稼働するすべてのWebアプリケーションおよびAPIに対して、APIの脅威を探索し、その脅威を緩和するWebアプリケーションおよびAPI保護(WAAP)ソリューションです。お客様のビジネスに対する潜在的な脅威を含むあらゆるインライントラフィックをブロックできます。
  • API Securityは、プラットフォームに依存せず、企業全体のすべてのAPIエンドポイントを包括的に探索して可視化します。APIアクティビティのリアルタイムトラフィック分析を提供し、APIトラフィックの新たな悪用を緩和するために必要とされる具体的な対応を判断します。

App & API ProtectorとAPI Securityを組み合わせて展開すると、インラインで機能し、APIに極めて包括的かつ継続的な可視性が得られます。これにより、あらゆる資産のAPIに関する問題を探索、監査、検知、対応できます。さらに、両ソリューションを統合すると、API Securityを最も堅牢かつシンプルな形で実装できます。

はい。AkamaiのAPIテストソリューションは、API固有の脆弱性に包括的に対処するように設計されています。Akamaiのソリューションは、シフトレフトを実行し、開発のあらゆる段階にAPIセキュリティテストを組み込むために役立ちます。

API Securityは、水平方向(East/West)と垂直方向(North/South)の両方のトラフィックを監視して保護し、企業全体のすべてのAPIにセキュリティリスクを示す異常がないかどうかを確認します。

API Securityは、個人情報(PII)、内部ドキュメント、知的財産などが含まれているAPIを特定し、それらのAPIの保護を自動化できるようにします。すべてのトラフィックサンプルは、不審かどうかにかかわらず難読化されており、管理者と関係者だけが表示できるため、プライバシーとコンプライアンスの取り組みがシンプル化されます。

API Securityは、プラットフォームに依存することなく、SaaS、ハイブリッド、オンプレミスなど、あらゆる環境で機能します。これには、複数のCDN、WAF、ゲートウェイを備え、企業全体にAPIが(垂直方向と水平方向の両方に)広く分散しているような複雑な環境も含まれます。API Securityは、APIがどこで探索されても、APIのふるまいを全社規模で可視化します。

Akamai API Securityは、Akamai CloudトラフィックのコピーをAkamai API Securityにシームレスに送信して分析できるネイティブコネクターを備えています。この統合は、API SecurityとAkamai Cloudの両方に直接組み込まれているため、レイテンシーが排除され、リスクが軽減されます。ネイティブコネクターは、Akamaiが管理する環境全体のAPIを自動的に探索して追跡し、脆弱性の検知をサポートし、お客様がエッジで攻撃者をブロックできるようにします。

API Securityは、OWASP Top 10 APIセキュリティリスク のすべてをカバーしています。

Akamai API Securityは、アプリケーション、LLM、およびデータソース間で継続的かつ自動的に行われるやり取りを保護するAIネイティブなガバナンスレイヤーを提供します。AIの利用が拡大するにつれて、従来のセキュリティ境界の外で行われることが多いマシン間通信による「シャドー」アタックサーフェスが生み出されます。Akamaiは、AIに関連するAPIの継続的な探索、ふるまいベースのガードレール、データ漏えい防止機能、そして実際の攻撃パターンから学習する機械学習を活用することで、これらのリスクを緩和します。Akamaiを利用することで、企業はLLMを活用したイノベーションを進めながら、潜在的な悪用による影響範囲を最小限に抑えることができます。

リソース

OWASP Top 10 APIセキュリティリスクに対する防御

Top 10 APIセキュリティリスクの更新版で、新たな緩和戦略や防御が必要な新規の脆弱性が取り上げられています。

エッジを超えて:WAAPにAlways-onのAPI Securityを加えて補完

APIセキュリティのベストプラクティスを学び、WAAPだけでは対策が不十分である理由を探ります。

API Securityの機能をライブデモでご覧ください

Akamaiの専門家と1対1でご相談ください。API Securityがどのようにお客様の環境を保護できるかをカスタマイズされた形でご案内します。
攻撃防止に役立つ主要機能のハンズオン例を体験してみましょう。内容には以下が含まれます:

  • 探索と監視:24時間体制の監視システムにより、脅威を即座に検知して対応
  • アラート:ポスチャアラートとランタイムアラートの処理方法を調査
  • 統合が容易:複雑さにかかわらず、既存のテクノロジースタックとシームレスに統合

パーソナライズドデモのスケジュールは、2ステップで簡単に行えます。

  1. フォームを送信する
  2. 弊社チームと時間を調整する

お申込みいただきありがとうございます。

追って弊社担当者より、スケジュールに関してご連絡いたします。