API セキュリティ:API アクティビティデータ取得のベストプラクティス
API データ収集は、 API セキュリティの要です。データ収集の主な目的は、API 探索と API トラフィック分析です。
API 探索 は、効果的な API セキュリティプログラムに不可欠です。重要なことは、不正な API やゾンビ API を検出するために API 探索を継続させることです。
また、 OWASP Top 10 API セキュリティリスクで説明したように、脆弱性および脅威を探すために API トラフィック分析を行うことも重要です。ネットワークセキュリティの取り組みと同様に、セキュリティ製品は、脅威の分析に適したデータを監視する必要があります。
API データ収集の効果を高める 4 つの推奨事項
API データ収集の効果を高める 4 つの推奨事項は次のとおりです。
カバー範囲をできるだけ広げることから始める
主要な API 監視スタックに詳細な情報を与える
API アクティビティデータをサニタイズ(無害化)する
API 探索の向上と脅威検知を高度化するための第一歩を踏み出す
カバー範囲をできるだけ広げることから始める
API セキュリティのアプローチを設計する際に、可視性に幅を持たせることが非常に重要です。全般的に標準化された API の導入および管理プロセスを採用している場合は、その標準的なプロセスに従って API データ収集に集中することになるでしょう。しかし、想定外の API を検知することは、間違いなく API セキュリティ戦略のより重要な要素と言えます。
結局のところ、安全性が保証されているプロセスの外側で実装された不正な API や、レガシーの API スタックに作成され、忘れられたシャドウ API があると、主要スタック上の新しい API よりも重大なリスクを生む可能性が高くなります。したがって、API データ収集メカニズムが、API を継続的に探索できるようにする必要があります。
これは、ホストベースのセンサーよりも、トラフィック監視やログ収集の方が向いている領域です。ネットワーク内の主要ポイントからのトラフィックをミラーリングし、ログ(たとえば API ゲートウェイのログ)を使用すれば、当然のことながら、カバーする範囲が広がります。したがって、API セキュリティシステムが API を検出するように設計されている限り、安全性が保証されていない API アクティビティを捕捉できる可能性が高くなります。これに対して、ホストベースのほとんどのタイプのセンサー(特にコードインストゥルメンテーション)は、センサーが搭載された特定の API ホストのアクティビティのみを監視します。
ログとトラフィックの監視によって提供される広範な可視性を活用する場合でも、死角を探し出して排除することが重要です。 ハイブリッドクラウド と マルチクラウド 環境では、API トラフィックがさまざまな場所に流れており、それぞれに個別にアクセスする必要があります(詳細ログに記録されている機微な情報が保護されていることをコンプライアンスチームに納得してもらう方法については、この投稿で後述するデータのサニタイズに関するセクションで説明します)。
主要な API 監視スタックに詳細な情報を与える
ログデータとトラフィックデータの発生源はさまざまです。カバー範囲の観点から見て、このデータをインフラの各種ソースから取得することは有意義です。たとえば、パケットブローカー、クラウドプラットフォーム、API ゲートウェイ、コンテナおよびメッシュ・オーケストレーション・ツール、プロキシ、コンテンツ・デリバリー・ネットワーク、 Web アプリケーションファイアウォール、一元型ロギングプラットフォームといったソースから収集できます。
これらのプラットフォームがカバーする範囲は、ベースラインの API 探索にとって最適です。しかし、API データ収集アプローチを設計する際には、データの深さと忠実性を考慮することも重要です。
たとえば、API ゲートウェイからアクティビティデータを直接収集しているとします。API ゲートウェイのログに、非常に高度なふるまい分析を実行するための十分な詳細情報が含まれているとは限りません。たとえば、すべての HTTP アクティビティがログに記録されていたとしても、要求ヘッダーと応答ヘッダーとでは詳細度にばらつきがあるかもしれません。また、ベンダーによっては、メッセージのペイロードなどの有用なデータが完全に欠落している場合もあります。
Akamai API Security のようなプラットフォームの場合は、API アクティビティに関与するエンティティを特定し、ビジネスコンテキストを統合し、ふるまいの異常を監視するため、API トラフィックのミラーリングテクノロジーによって提供される追加データの忠実性は非常に重要になります。
API アクティビティデータをサニタイズ(無害化)する
これまでに説明した内容のほとんどは、可能な限りカバー範囲を広くし、できる限り多くの API アクティビティデータの収集に重点を置いています。そうすることで、API の探索とセキュリティ分析が可能な限り包括的に行われ、高度な API の脅威に先んじて対処するために必要となるふるまい分析のために、しっかりとした基盤を築くことができます。
したがって、セキュリティベンダーに API アクティビティの分析を許可するにあたって、オンプレミス環境または仮想プライベートクラウド環境をそのベンダーに任せる前に、データをサニタイズできることを証明するように要求することが重要です。
このタイプの クラウドセキュリティ モデルを採用できれば、機密性の高いユーザーデータや知的財産を保護すると同時に、ベンダーのセンサーが分析対象として非常にきめの細かい詳細情報をクラウドに送信できるようになります。
API 探索の向上と脅威検知を高度化するための第一歩を踏み出す
自組織にとって最適な API データ収集技術を特定し、それらの技術間のトレードオフを比較する方法を決定することは、骨の折れる作業に見えますが、それほど難しいものである必要はないのです。
Akamai のチームがこの作業の案内役となり、お客様のアプローチに最新のベストプラクティスが確実に組み込まれるようにします。 こちら で、Akamai がお客様をどのようにサポートしているのかについて説明しています。
