API 攻撃とは

API 攻撃とは、API を悪意のある目的、あるいは許可されていない目的で使用する試みのことです。API 攻撃には、次のようなさまざまな形態があります。

• API 実装における技術的な脆弱性の悪用
• 正当なユーザーになりすますために、盗んだ認証情報やその他のアカウント乗っ取り技術を使用
• 想定外の方法で API を使用することを可能にするビジネスロジックの乱用

API は今日、いたるところに存在します。インターネット上でのアプリケーションやサービスのサポートから、モバイルアプリやクラウドベースのカスタマーサービスの強化まで、API はビジネスの運営、俊敏性、競争力にとって重要です。この点がまた、サイバー犯罪者にとって非常に理想的な標的にもなります。

API 攻撃を防ぐことは、簡単ではありません。こうしたデジタル資産のセキュリティを確保するという課題は、最新の DevOps 手法、クラウドへの移行、および絶えず変化する API 製品によって複雑化しており、これにより新たなレベルの複雑さがもたらされます。

Akamai App & API Protectorは、API の資産に対して強力で包括的な 脅威防御 ソリューションを提供します。App & API Protector は、シンプルで使いやすい設計でありながら、現在利用可能な最高レベルのセキュリティ自動化機能をいくつも備えています。この Akamai ソリューションを使用すると、API 攻撃をブロックすると同時に、さまざまな脅威から Web サイトやアプリケーションを保護し、アタックサーフェスを最小限に抑え、IT 管理者の負担を軽減できます。

API を使用すると、ソフトウェアアプリケーションとオペレーティングシステムが相互に迅速かつ容易に通信できるようになるため、ビジネスのペースを加速し、コラボレーションを強化し、Web 上の場所のパフォーマンスを向上させることができます。しかし、組織が従来型の ネットワークセキュリティ ソリューションを API 防御に使用していると、侵害を防げる可能性は低くなります。

一般的な API 攻撃には、次のような既知の攻撃ベクトルが複数含まれます。

• 中間者攻撃 （MITM）は、ハッカーが通信チャネル内の 2 つのエンドポイント間の通信やリクエストを静かに傍受し、機密情報を盗めるようにします。
• DDoS 攻撃 （分散型サービス妨害攻撃）は、数千の接続を同時に要求することで API のメモリを過負荷にし、使用可能なすべてのリソースを接続させることでクラッシュを発生させようとします。
• SQL インジェクション攻撃 では、悪性コードを開発が不十分なプログラムに挿入するだけで、ソフトウェアにアクセスできます。
• 安全でない API キー生成 では、攻撃者は、大規模なユーザープールからさまざまな API キーを生成して使用することで、従来の API セキュリティツールを破壊できます。
• 不十分なロギングとモニタリング によって、ハッカーが最初の脆弱性を足がかりにさらなる弱点を探せるようにします。
• アクセス制御の不備 を利用することで、攻撃者が特権機能にアクセスしたり、Web サイトのコンテンツを変更または削除したり、機微な情報を盗んだりすることを可能にします。

Akamai App & API Protector は、包括的な Web アプリケーションおよび API 保護ソリューションを提供します。これによって、IT セキュリティ戦略を強化し、新たなリスクに対する知見を提供し、IT チームがセキュリティギャップを特定し、API 攻撃を阻止することができます。

この Akamai ソリューションは Adaptive Security Engine を搭載し、Web アプリケーションファイアウォール、ボット緩和、DDoS 防御のための サイバーセキュリティソリューションと同様に、API セキュリティにおける業界をリードする多くのコア技術を組み合わせたものです。

Akamai App & API Protector は、セキュリティチームに以下のようなメリットをもたらします。

• API アタックサーフェスの縮小。API は、効果的な Web 体験を実現するための必須メカニズムですが、バックエンドのデータやロジックも公開してしまう場合があります。Akamai のソリューションは、API を自動的に検出し、OWASP API Security Top 10 などの脆弱性から API を保護します。
• API 攻撃の阻止。 脅威検知 機能が App & API Protector に含まれており、アクセスコントロールの破損、SQL インジェクション、自動ボットネット、ボリューム型 DDoS など、さまざまな脅威から Web サイト、アプリケーション、API を保護します
• 。メンテナンスのシンプル化。Akamai は、自動更新と自動セルフチューニングを利用することで、強固な API とアプリケーションのセキュリティを維持できるようにします。これにより、アラート疲れを防止し、チームが誤ったアラートではなく実際のサイバー攻撃を調査することができます。
• マルチレイヤーソリューションの導入。Akamai を活用することで、Web アプリの保護、ボットの可視化と緩和、DDoS 防御、SIEM コネクター、Web 最適化、エッジコンピューティング、API アクセラレーションなどのソリューションで、サイバー脅威セキュリティテクノロジーへの投資を最大限に活用できます。

Akamai App & API Protector は、API 攻撃を阻止する高度なテクノロジーを提供します。保護は可視化することから始まります。Akamai のソリューションを使用すると、Web トラフィック全体で、既知の API、未知の API、変化する API をすべて自動的に検出できます。これにより、チームは隠れた攻撃から保護し、エラーを検出し、予期しない変更を特定できます。新たに発見された API は、Akamai のテクノロジーにより数回クリックするだけで簡単に登録できます。App & API Protector は、API が登録されているかどうかに関係なく、すべての API リクエストの悪性コードを自動的に検査し、デフォルトで強力な API セキュリティを確立します。

App & API Protector のその他の機能は以下のとおりです。

• ボットの可視化と緩和。App & API Protector は、ボットトラフィックをリアルタイムで可視化し、不要なボットを検知して阻止する機能を備えています。
• 自動更新。Akamai の脅威リサーチャーが、毎日 454 TB を超える攻撃データを分析し、新しいベクトルを突き止め、既存のベクトルの変更を特定します。この調査から得られた知見は、強力な保護を実現するために、自動的に適応型セキュリティエンジンに送られます。
• DOS／DDoS 防御。Akamai は自動的にネットワークレイヤー DDoS 攻撃をエッジで防ぎ、アプリケーションレイヤー攻撃を数秒以内で迅速に緩和します。
• レポートツール。Akamai のダッシュボード、アラート、レポートツールを使用すると、攻撃の詳細なテレメトリやセキュリティイベントの分析にアクセスできます。IT 管理者は、静的フィルターとしきい値を使用して、リアルタイムの電子メールアラートを作成できます。Web セキュリティのレポートツールは、API 攻撃に対する防御の効果を継続的に監視および評価します。
• オンボーディングのシンプル化。使いやすいウィザードで、統合や設定のワークフローを使用してプロパティを簡単にオンボーディングできます。これによりオンボーディングプロセスが合理化・シンプル化されます。