ITSM、SIEM、SOAR を使用して API 攻撃に対処する方法

2024 年 6 月、Akamai は Noname Security を買収しました。これは 2023 年 7 月 24 日に公開され、現在アーカイブされているブログ記事です。

API 攻撃が増加しているのはなぜでしょうか？それは、API は攻撃者に非常に多くのものをもたらすからです。多くの場合、API を構築する際に誤設定、コーディングエラー、認証制御の欠如が生じるため、API は容易に悪用できます。また、API の最も重要な仕事はアプリケーションやシステム間でデータを継続的に交換することであるため、効率的なデータ漏えいを追い求めている攻撃者にとって魅力的なターゲットとなります。

多くの組織は、API セキュリティを優先して堅牢なセキュリティ対策を導入することが重要である理由を目の当たりにしています。ただし、どこから始めればよいのかは必ずしも明確ではありません。このブログ記事では、次の 3 つのツールを総合的な API セキュリティソリューションと連携させて、攻撃から API を保護する方法について説明します。

1. IT サービス管理（ITSM）
2. セキュリティ情報およびイベント管理（SIEM）
3. セキュリティオーケストレーション、自動化、応答（SOAR）

まず、これら 3 つのテクノロジーの機能と、それらが組織でどのように使用されているかについて簡単に説明します。

ITSM は、組織内の IT サービスの設計、提供、管理、改善に使用される一連のプラクティスと戦略です。IT サービスをビジネスニーズと連携させて、IT プロセスを効率的かつ効果的なものにすることに重点を置いています。ITSM には、インシデント管理、問題管理、変更管理、サービスレベル管理など、さまざまな分野が含まれます。ITSM のベストプラクティスを実行することで、組織は IT 運用を強化し、顧客満足度を高め、ビジネス目標を達成できます。

SIEM は、セキュリティ情報管理（SIM）機能とセキュリティイベント管理（SEM）機能を組み合わせたテクノロジーです。その主な目的は、組織の IT インフラ全体のセキュリティイベントをリアルタイムで監視し、相関させて、分析することです。SIEM システムは、ネットワークデバイス、サーバー、アプリケーションなどのさまざまなソースからログとデータを収集し、この情報を分析してセキュリティインシデントの検知と対応と行います。セキュリティイベントに関するデータを集約して相関させる SIEM の機能は、潜在的な脅威を特定し、インシデントを調査し、規制要件に準拠するために役立ちます。

SOAR は、セキュリティ運用の合理化と自動化を目的としたテクノロジーです。SOAR プラットフォームはさまざまなセキュリティツールやテクノロジーと統合されており、組織はこれを利用することで繰り返し発生する手作業のセキュリティタスクを自動化できます。さらに、SOAR はセキュリティ運用の一元管理を実現し、さまざまなチーム間のコラボレーションを促進して、インシデント対応ワークフローをサポートします。SOAR は、エンタープライズがセキュリティ運用の効率性と有効性を向上させ、応答時間を短縮し、セキュリティインシデントの影響を最小限に抑えるために役立ちます。

SIEM システムは、API ログなどのさまざまなソースから得られたセキュリティイベントに関するデータを分析し、相関させるうえで非常に役立ちます。SIEM システムの機能を使用することで、API 攻撃を特定して分析するエンタープライズの能力を強化することができ、迅速かつ効果的に対応できるようになります。SIEM は、総合的な API セキュリティソリューションと連携させることで強力なツールとなります。

API セキュリティソリューションを使用して API 攻撃を特定する最初のステップは、API トランザクションの総合的なロギングを可能にすることです。これには、ソース IP アドレス、アクセスされている API エンドポイント、リクエストのタイプ（GET、POST など）、関連するパラメーターやヘッダーなどの詳細な情報を取得することが含まれます。このデータを収集することで、組織は API の正常なふるまいのベースラインを確立し、攻撃を示唆するものである可能性のある異常を検知できます。

ログを適切に収集したら、次のステップは SIEM システムを設定して、これらのログをリアルタイムで監視、分析することです。これには、不審なパターンや既知の攻撃シグネチャを検知できるカスタムルールとアラートの作成が含まれます。たとえば、短時間の内に API エンドポイントが異常な回数のアクセスを受けている場合、総当たり攻撃やシステムを過負荷状態にする試みが行われている可能性があります。

API 攻撃が検知されたら、SIEM システムは自動アラートを生成し、適切なセキュリティ担当者に通知を送信できます。このアラートには、標的となっている特定の API エンドポイント、攻撃のタイプ（SQL インジェクション、クロスサイトスクリプティングなど）、関連する脅威の痕跡情報など、攻撃に関する詳細な情報が含まれます。これにより、組織は迅速に対応し、必要な対処手順を開始して攻撃を緩和し、さらなる損害を防止できます。

API セキュリティに ITSM の原則を活用することで、組織は API の使用に伴う潜在的なリスクを特定、評価、緩和するための堅牢なフレームワークを確立できます。

最初のステップは、明確なポリシーとガイドラインを定めることです。これには、許容される API の使用方法、認証および認可プロトコル、データ暗号化標準、インシデント対応手順の概要を示す API セキュリティポリシーの確立が含まれます。これらの方針は、コンプライアンスを確保して説明責任を果たすために、すべての関係者に通達する必要があります。

次に、組織は ITSM の原則をサポートする総合的な API セキュリティソリューションを採用する必要があります。このソリューションは、API 探索、監視、アクセス制御などの機能を提供するものである必要があります。また、既存の ITSM ツールと統合され、インシデント管理プロセスや変更管理プロセスを合理化するものである必要があります。

明確なポリシーを定め、総合的な API セキュリティプラットフォームを採用し、強力な認証対策を導入し、セキュリティ体制を定期的に評価することで、組織は API セキュリティを強化して潜在的なリスクを緩和するための堅牢なフレームワークを確立できます。API セキュリティソリューションがリクエストを適切なバックエンドチームにルーティングすることも、大きなメリットです。問題となっている API を所有するユーザーに関する適切なコンテキストを追加できれば、この ITSM システムはリクエストを自動的に適切なチームにルーティングできます。

組織は API 攻撃の増加に直面しているため、迅速かつ確実に対応してリスクを緩和するための制御と機能を導入することが重要です。ここで SOAR の出番です。SOAR はインシデント対応のための総合的なアプローチであり、自動化、オーケストレーション、機械学習の力を組み合わせて対処プロセスを合理化し、強化します。これにより、エンタープライズは応答時間を大幅に短縮し、人的ミスを最小限に抑え、全体的なセキュリティ体制を強化することができます。

API 関連のセキュリティを強化する上での SOAR の主なメリットの 1 つは、異なるセキュリティツールとシステムを統合することにより、セキュリティ運用のオーケストレーションを行うことです。これらのツールを接続して同期することで、インシデント対応のライフサイクル全体でシームレスな情報共有とコラボレーションが可能になります。

このオーケストレーション機能は、可視性と状況認識を強化するだけでなく、協調的な対処を促進し、組織がより効果的にサイバー脅威に対応できるようにします。

SOAR は、機械学習を使用して膨大な量のセキュリティデータを分析し、人間のアナリストが見落とす可能性のあるパターンや傾向を特定します。SOAR プラットフォームは、継続的な学習と適応により、新たな脅威をリアルタイムで検知して対応し、プロアクティブな防御メカニズムを組織に提供します。

この機能は、組織が API セキュリティインシデントに迅速に対処するだけでなく、今後同様の攻撃が発生しないようにするためにも役立ちます。自動化とオーケストレーションを組み合わせることで、SOAR は組織がサイバー脅威に迅速かつ効果的に対応できるようにします。繰り返し発生するタスクの自動化、セキュリティ運用のオーケストレーション、機械学習の活用が可能であるため、SOAR は対処プロセスを合理化し、API セキュリティ体制を強化し、最終的に組織が進化する攻撃手法に先んじるための支援をすることができます。