Akamai、API セキュリティを強化

現在、 API の使用が飛躍的に拡大しています。API は、私たちの世界と、その世界の体験の原動力です。毎日、私たちがデバイスを使用する際、お気に入りのアプリケーションが複数の API と通信して、ソーシャルメディア、ショッピング、銀行取引、託児所にいる子どもの様子の確認など、あらゆることを行います。在宅勤務中には、会社のアプリケーションやサービスと通信するときに API を使用します。

API は世界中のほぼすべての業界で使用されており、デジタルトランスフォーメーション、モバイルおよび IoT（Internet of Things）の導入、オープンバンキングなどのビジネスイニシアチブによって API の使用が促進されています。B2B でも B2C でも、API を使用することで、経済圏において大規模にビジネスを行えるようにしています。現代的なアプリケーションを作成するほぼすべての企業は、API を使用してそのアプリケーションを動作させたり、企業間でサービスを統合したりしています。

その結果、 API は攻撃者にとって最も魅力的なベクトルの 1 つとなっています。Akamai のデータによると、 API 攻撃 は前年比で 109% 増加しています。 2023 年のレポートでは、78% の顧客が過去 12 か月間に API 関連のセキュリティインシデントを経験したと回答しました。API のセキュリティは優先度が高まっており、Akamai はお客様の API 保護を強化しています。

Akamai API Security に対するお客様の需要はすでに 200% 増大 していましたが、Noname Security を買収したことにより、Akamai はこの驚異的な需要の増大をさらに促進できるようになります。Akamai と Noname はどちらも、この分野で 定評のあるリーダー であり、この買収によって API セキュリティの業界標準となるために必要なさらなる能力が両社にもたらされます。

Web アプリケーションおよび API 保護（WAAP）プラットフォームは、 OWASP API Security Top 10に含まれる攻撃などから Web アプリケーションと API を保護する上で重要な役割を担います。しかし、問題を完全に解決するわけではありません。

読者の皆さんの中には、他のベンダーから、WAAP はあらゆるタイプの API 攻撃に対処できると吹き込まれた人がいるかもしれません。しかし実際には、ほとんどの WAAP ソリューションは、攻撃（特に 悪用攻撃）を防ぐために必要な API セキュリティの可視性と深みをもたらすには至りません。なぜなら、WAAP ソリューションは、API 要求と応答の間の会話を理解するためのコンテキスト認識機能を備えていないからです。

API が Web アプリケーションとは異なる動作をすることを考えれば、これは驚くべきことではありません。Web アプリケーションの背後にあるビジネスロジックは隠されていますが、API のビジネスロジックはインターネットに直接公開されるため、悪用される可能性があります。 2024 年 5 月の TechCrunch の記事で、その一例が紹介されています。WAAP プラットフォームでは、このタイプの攻撃を緩和できませんでした。

そのため、Akamai はこれまでに API セキュリティソリューションを進化させるために多大な投資を行っており、この度の新たな買収によって引き続きイノベーションと API 保護の強化を推進しています。

Akamai API Security は、現在 OWASP API Security Top 10 で取り上げられている、収益の損失、評判の失墜、情報漏えい、コンプライアンス違反につながる多くのタイプの攻撃に対処します。

Akamai の API セキュリティソリューションは、 API 環境の可視性、脅威や異常の検知とブロック、API のアクティブテストを含む、いくつかの重要な問題を解決します。

「見えないものは守れない」という格言があります。多くの企業は自社の API の数を把握してさえいないため、リスクを定量化することが困難になっています。Akamai API Security は初めに、お客様の API の数を評価します。これには、お客様が活発に使用していて認識している API だけでなく、認識していないまたは見えていないレガシー API、シャドウ API、不正な API も含まれます。Noname Security のデータによると、同社の API セキュリティプラットフォームを利用しているお客様が自社環境内で探索する API の数は、当初予想されていたよりも平均 40% 多いとのことです。

API Security は機械学習を使用して、あらゆる種類の API の脆弱性や悪用（データ改ざん、漏えい、誤設定、ポリシー違反、異常なふるまい、直接的な API セキュリティ攻撃など）を検知および特定します。

シフト・レフト・テストはアプリケーション開発の重要な要素であり、これによって最初からセキュリティが確保されます。しかしこれまでは、API の開発中に API をテストすることはできませんでした。API Security を使用すれば、API テストを CI／CD パイプラインに組み込み、API が本番環境にリリースされる前に問題が解決されるようにすることができます。

API セキュリティの市場リーダーの 1 社である Noname Security が加わることで、Akamai API Security がお客様に提供する保護が即座に拡張されます。Noname の幅広い統合と展開の選択肢により、Akamai はベンダー環境の違いを超えてサポートを提供できるようになりました。

組織がクラウド、エッジネイティブ、オンプレミス、またはその他のベンダープラットフォームのいずれを使用していても、Akamai API Security は API 環境のセキュリティを確保できます。Noname ソリューションを追加することにより、Akamai はあらゆる環境のお客様に総合的な API 保護を提供するために必要な、リーチとカバー範囲を獲得することとなります。

また、嬉しいことに、次のようなメリットもあります。

• 柔軟性に富む展開能力 — クラウドホスティング、セルフホスティング、ハイブリッド、分散型のインスタンスで迅速に展開できます

• 重要なエンタープライズ機能 — ロールベースのアクセス制御、セルフサービス設定、CI／CD 統合、ダッシュボード、高度な自動応答が含まれます

• データ境界の課題がない — メモリー内にある攻撃からのデータを分析し、データが環境から離れないようにします

• その他の統合 — NGINX、AWS、Azure、F5、Apigee、MuleSoft、GCP など、業界で最も包括的な統合を提供します。お客様がすでに使用しているものとの統合は重要であり、このソリューションは幅広くカバーします

• 堅牢な API テスト — CI／CD パイプラインに組み込まれた API セキュリティの脆弱性が悪用される前に、（ソフトウェア開発ライフサイクルの開発段階で）発見して修復することに重点を置きます

前述のとおり、Akamai は現在の API セキュリティの革新技術と Noname セキュリティソリューションを組み合わせることを計画しています。この統合ソリューションは、あらゆる環境のお客様に包括的な API 保護を提供します。

統合プロセスでは、次の 3 つの領域を重視します。

1. Akamai エッジネットワークからの接続

2. App API & Protector への接続

3. 脅威インテリジェンス

Akamai は世界最大規模のプライベートネットワークを運営しています。Akamai のサービスの大半はそのプラットフォームから提供されており、それには市場をリードするセキュリティサービス（App & API Protector や Prolexic DDoS 防御など）、市場トップクラスのコンテンツ・デリバリー・ネットワーク（CDN）、そして Akamai のパブリック・クラウド・サービスが含まれています。Akamai のエンタープライズ顧客は、Akamai のプラットフォームから直接、簡単にサービスを利用できることを非常に気に入っています。そのため、Akamai は Noname を弊社のネットワークに統合し、簡単に展開できるようにします。統合は買収後 3 週間で完了する見込みです。

App & API Protector は業界最高の WAAP プラットフォームです。そのことは、Gartner® Peer Insights™ で 5 年連続となる 2024 Customers' Choice for Cloud WAAP に選出されたことや、その他のアナリストレビューによって証明されています。この接続により、Noname によって生成されたふるまいインテリジェンスが App & API Protector 内の WAAP ルールをトリガーして、自動で接続をブロックできるようになります。

Akamai は毎日 788 テラバイト以上のデータを収集し、分析しています。そのデータはすべて、弊社がサービスを提供している主なエンタープライズ顧客基盤において観測される大量の攻撃によって生成されます（1 四半期あたり 120 億件以上の Web 攻撃が観測されます）。そのデータが 200 人以上のセキュリティ研究者によって分析され、すばらしい脅威インテリジェンスがもたらされます。また、Akamai はすべての製品で行っているとおり、そのデータフィードを Akamai API Security にも統合する予定です。