主な課題は、多くの場合、API が管理されておらず、誤設定、不十分な認証制御、意図せずインターネットに公開されるといった状態で本番環境に導入されていることです。こうした要因から、API は攻撃者の主な標的となっています。
- API はビジネス価値を提供します。組織が開始するすべてのデジタルイニシアチブやクラウドイニシアチブに組み込まれ、収益を促進するイノベーションを実現するアプリケーション・プログラミング・インターフェース(API)のエコシステムは拡大します。
- しかし、API はリスクももたらします。脅威アクターは、API が企業の機微な情報への迅速かつ直接的な経路になり得ることを知っています。脆弱性はたくさんあります。たとえば、開発プロセスではセキュリティよりもスピードが重視されることが多く、その間に発生した誤設定やコーディングエラーを残したまま、API が本番環境に導入されることがよくあります。
- API セキュリティに重要な要素があります。API セキュリティの課題に対する解決策は継続的な保護です。API が作成されて本番環境に移行する際に、セキュリティチームと開発者のプロセスに継続的な保護が組み込まれていることが重要です。このホワイトペーパーでは、次の方法を説明します。
- AppSec の専門家を組織のエンジニアリングチームに配置する文化を新たに育む。
- API を探索して完全なインベントリを作成し、組織の API セキュリティのリスクプロファイルを把握する。
- 修復を優先して、可能な限り修正を自動化し、API セキュリティを現行のアプリケーション・セキュリティ・システムにシームレスに統合する。
- 継続的な監視と API テストを維持して、新たな脆弱性が迅速に特定され、緩和されるようにする。
よくある質問(FAQ)
API 開発を含む基幹業務イニシアチブでは、セキュリティよりもスピードと商業的な目標を優先することがよくあります。開発者は迅速な対応を迫られ、セキュリティチームはそのプロジェクトを十分に可視化できません。
見落とされがちなシャドー API、ゾンビ API、休眠 API を含む API の完全なインベントリが非常に重要なのは、それによって組織は API アタックサーフェス全体を評価し、各 API のリスクを特定できるからです。
重要なステップには、既存の IT ワークフロー管理システムとの統合、自動修復への段階的な移行、悪性のふるまいの監視、既存の SIEM システムとの統合による包括的なデータ使用の実現などがあります。
API セキュリティにおける「シフトレフト」とは、テストとセキュリティタスクを開発プロセスの早い段階へ移動することを意味します。これにより、開発者が API のライフサイクル全体を通じて脆弱性を監視するようになるため、より迅速かつ効果的な修復が可能になります。
継続的な API テストが必要である理由は、それによって本番環境への導入前後で脆弱性を特定し、緩和できるようになるからです。本番環境でのリアルタイム監視およびテストは、ソフトウェアの安定性とパフォーマンスを維持しながら、ユーザー体験を向上させるためにも役立ちます。
自動化は API セキュリティにおいて重要な役割を果たします。修復アクションを既存の IT ワークフロー管理システムに統合し、段階的に自動修復に移行し、悪性のふるまいを継続的に監視することを支援します。これにより、脆弱性に対処するために必要な時間と労力が削減され、差し迫ったリスクが緩和されます。