最新の API セキュリティに関する推奨事項・非推奨事項
多くのセキュリティ担当エグゼクティブは、大嵐の中を進んでいるように感じながら API セキュリティに取り組んでいます。API は新しいものではありませんが、ここ数年は次のような理由から戦略的に非常に重要になっています。
ユーザーは、ますます多様化するユーザーインターフェースとデバイスを通じてアプリケーションとやり取りします。多くの場合、これは共有された一連の API によって実現されます。
API を使用し、DevOps プラクティスやその他の高速のビジネスプロセスの自動化が推進されています。
ビジネスパートナー間の API 統合は、迅速でシームレスなオンライン体験を求める顧客の期待に応える唯一の方法です。
モノのインターネット(IoT)などの産業発展により、企業が API を使用してプログラムで管理する必要のある接続デバイスの数が何倍にも増加しています。
API:戦略の成功要因であり、脆弱性のキーポイント
このような産業発展が起こっていることは、何年も前から明らかでした。しかし、多くのセキュリティリーダーは、API が戦略の成功要因であると同時に、ほぼすべての重要なビジネス機能における脆弱性のキーポイントであるという事実にやっと注目し始めています。
API セキュリティに対する戦略的アプローチが必要であると認識することは重要な第一歩です。しかし、API セキュリティの達成は複雑なプロセスにも感じられます。その理由の 1 つは、API が動くターゲットであることです。API は常に現れたり消えたりし、API ガバナンスプロセスが存在しても一貫性がない場合がよくあります。
API 脅威と従来のセキュリティ脅威の比較
API 脅威 は、従来のセキュリティ脅威ともかなり異なります。技術的な脆弱性や誤設定( OWASP API Security Top 10に含まれるものなど)には、セキュリティチームが戦い慣れている攻撃ベクトルとの類似点がいくつかあります。しかし、API は他のタイプの不正利用やビジネスロジックの悪用(従来のセキュリティ攻撃の型にはまらない攻撃的なデータスクレイピングなど)の影響も受けます。
確かに API セキュリティ に戦略的に取り組むことは必ずしも簡単ではありませんが、可能ではあります。
Akamai は「 API セキュリティに関する 8 つの推奨事項・非推奨事項 」という簡単なガイドを作成しました。これは、世界で最も洗練された API 主導の組織との共同研究や取り組みによって得られた教訓とベストプラクティスの一部をまとめたものです。このガイドでは、組織のためのより洗練された API セキュリティ戦略を考案する際に、必ず実行すべき戦略と回避すべき落とし穴を取り上げています。
