ゼロトラストの世界における API セキュリティ
セキュリティ境界の従来の概念が、かつてないほど変化しています。これにより、多くの組織が ゼロトラスト・アーキテクチャ (ZTA)の原則を導入するようになりました。これは多くの場合、ユーザーの信頼性を評価し、主要なユーザーインターフェースを介して機密性の高いネットワーク、システム、データへアクセスすることを管理することに重点を置いています。
しかし、多くの ZTA 戦略は信頼性を継続的に評価する方法の考案に取り組んでいるため、機微なアプリケーション機能やデータに、アプリケーション・プログラミング・インターフェース(API)ベースでアクセスする手法がますます広がっていることを見落としています。
このブログでは、API と ZTA が交わる点について説明します。また、ZTA を API にまで拡張するために実行できる最初の手順についても説明します。
ゼロトラストとは
2010 年、Forrester Research は ZTA の原則を大手エンタープライズのセキュリティ担当者に紹介しました。それ以降、ZTA の設計は Forrester やその他の多くの業界関係者( NIST Special Publication 800-207を公開した米国国立標準技術研究所など)によって大幅に改善されています。
簡単に言うと、 ゼロトラスト は、 いかなるユーザーもデバイスもデフォルトでは信頼できないということを前提としています。各ユーザーやデバイスは機密リソースへのアクセスを試みるたびに評価を受け、その後も継続的に評価を受ける必要があります。
ZTA は、長年にわたり、組織が実際に追求するものとしてではなく、議論のテーマとして扱われてきました。しかし、 コロナ禍によって世界中で在宅ワークへの移行に拍車がかかり 、多くの組織が ZTA の原則の導入に向けた具体的な計画を推進するようになりました。
API とゼロトラストが交わる点
NIST SP 200-807 は、ZTA の 7 つの基本原則を概説しています。これらの原則には、アプリケーションの機能やデータへの API ベースのアクセス以上のことが含まれていますが、組織の API 戦略とゼロトラストが交わる点も極めて明確に示されています。
ゼロトラストの 7 つの基本原則
次の表に、NIST SP 200-807 で定義されている ZTA の 7 つの基本原則と、組織の API セキュリティプラクティスをこれらの原則と連携させるための推奨事項を示します。
ゼロトラスト・アーキテクチャの 7 つの基本原則 |
API セキュリティの関連事項 |
|---|---|
1.「すべてのデータソースとコンピューティングサービスはリソースと見なされます」 |
ZTA の範囲内のアプリケーションやデータソースの多くは、直接のユーザーインターフェースだけでなく API を介してアクセスできます。したがって、ZTA 評価およびポリシー適用モデルには API インターフェースを含める必要があります。 |
2.「ネットワークの場所に関係なく、すべての通信が保護されます」 |
API がプライベート・データ・センターまたはクラウド環境内での内部使用のみを目的としている場合でも、外部と接しているかのように暗号化、認証、認可を実行し、データの機密性と完全性を確保するする必要があります。 |
3.「個々のエンタープライズリソースへのアクセスは、セッションごとに許可されます」 |
API リソースへのアクセスを許可する前に、信頼性を評価する必要があります。アクセス権を付与する際は、可能な限り最小限の権限を付与する必要があります。ふるまい分析を使用して API の使用状況を監視し、継続的に信頼性を評価します。 |
4.「リソースへのアクセスは動的なポリシー(クライアントアイデンティティ、アプリケーション/サービス、および要求元資産の観測可能な状態など)によって決定されます。また、ふるまいや環境に関するその他の属性が含まれる場合があります」 |
ZTA を API に適用するためには、関与するエンティティを特定し、ビジネスコンテキストを推測し、ふるまい分析を使用して通常の使用パターンからの逸脱を特定できなければなりません。 注目すべきふるまいの属性として、迅速な API 呼び出しによるサービス妨害があげられます。 そのため、 API レート制限 の欠如は、 Open Worldwide Application Security Project(OWASP)API Security Top 10において「機密性の高いフローへの制限のないアクセス」に分類されています。 NIST は、「これらのルールと属性はビジネスプロセスのニーズと許容可能なリスクレベルに基づきます」と述べています。 |
5.「エンタープライズは所有するすべての関連資産の完全性とセキュリティの状態を監視し、測定します」 |
この要件は、 米国サイバーセキュリティ・社会基盤安全保障庁(CISA)が定義する継続的な診断および緩和(CDM)の概念に基づいています。CDM には、アセット管理、脆弱性管理、構成/設定管理などの要素が含まれます。 物理的な資産と同様に、 API は継続的に探索、分類、追跡する必要があります。同様に、継続的な脆弱性評価を、従来のネットワークや アプリケーションセキュリティ の枠を超えて拡張し、潜在的な API ベースの脆弱性を含める必要があります。 |
6.「すべてのリソース認証と認可は動的であり、アクセスが許可される前に厳密に実行されます」 |
この概念は API に拡張可能であり、拡張する必要があります。ZTA を導入している組織は、認証および認可された API トラフィック内で異常なふるまいまたは不正なふるまいが検知された場合に応答するために、API の使用状況を継続的に監視し、自動化されたテクノロジー(ブロック、制限、認証情報の無効化など)を使用する必要があります。 |
7.「エンタープライズは、資産、ネットワークインフラ、通信の現状について可能な限り多くの情報を収集し、それを使用してセキュリティ体制を改善します」 |
API セキュリティ対策が ZTA の有効な要素となるためには、長期間(理想的にはわずかな API の悪用を検知するのに十分な期間)にわたってデータを収集できなければなりません。 リアルタイムのリスク評価と ZTA 設計の継続的な改善の両方を目的としてふるまい分析を実行するためには、このレベルの詳細さが必要です。これには、考え得るポリシーの改善点を特定するために、脅威ハンターに API や脅威データへのオンデマンドアクセスを提供することが含まれます。また、チームが使用する開発や運用のツールおよびワークフローでも、同様の統合ポイントを作成する必要があります。 |
ZTA を API にまで拡張するために実行する 7 つの最初の手順
ZTA を導入したいと考えているほとんどの組織にとって、最大の課題は どこから始めるかを決定することです。API セキュリティの場合、次の機能を実装すると、セキュリティ体制に即座に影響が生じ、将来の ZTA 計画に API セキュリティを組み込むために必要な土台がもたらされます。
継続的な API 探索を実行し、すべての API と API にアクセス可能な資産の正確なインベントリーを維持する
未承認の API が見つかった場合は、体系的なワークフローによって管理に組み込んだり、排除したりする
API がパブリックかプライベートかに関係なく、適切な API の認証と認可を実行する
継続的な統制として API の脆弱性をプロアクティブに特定するために、 OWASP API Security Top 10 を参照する
大規模な API トラフィックデータセットを分析して、通常のふるまいのベースラインを見極め、異常検知を実行するための機能を開発する
API 統合を通じて ZTA ポリシーエンジンが実装される際に、脅威と信頼に関する知見を ZTA ポリシーエンジンに供給する
API の脆弱性、脅威、悪用が表面化した場合は、自動応答を開始する
最初のステップ
API セキュリティを ZTA に組み込みましょう。何が可能になるかについては、 Akamai API Securityをご覧ください。
