Akamai、ビジネス悪用やデータ窃取から API を守る API Security 製品を発表

オンラインライフの力となり、守るクラウド企業、Akamai Technologies, Inc.（NASDAQ：AKAM）は本日、 API Securityの提供開始を発表しました。これは、アプリケーション・プログラミング・インターフェース（API）への攻撃を阻止し、API 内のビジネスロジックの悪用を検知する製品です。Akamai の API Security には、ふるまい分析を使用して API アクティビティを検出、監査、監視する機能があり、脅威や悪用にすぐに対応できます。

API への攻撃が増え続ける今、API のセキュリティは組織にとって重大な懸念材料となっています。Akamai が最近発行した インターネットの現状レポートによると、2022 年には、アプリケーションと API への攻撃数が過去最多となりました。Web アプリケーションと API の保護（WAAP）製品を使用していても、許可された API の組織内での利用状況を可視化することはできません。攻撃者はこの盲点に気づき、広範な API アタックサーフェスの悪用へと移行してきました。

Akamai がスタンドアロンソリューションとして提供する API Security は、今年 4 月に発表された、Akamai による Neosec の買収がもたらした成果です。 この製品は、あらゆる API ゲートウェイ、WAAP、クラウド実装と併用できます。Akamai のお客様は、統合機能であるエッジコネクターを活用することも可能です。これにより、ボタンをクリックするだけで製品統合にかかる時間、労力、コストを節約できます。

API Security 製品は、API アクティビティに対する完全な可視性を提供し、ふるまい分析を使用して複雑な脅威を検知するとともに、データレイクに一意に保存されている履歴データの分析を通じて検知能力をさらに高めます。また、API ディスカバリー、可視化、リスク監査の機能を、検知と対応の機能と結びつけることにより、広範な調査および脅威ハンティングが可能となります。API Security の差別化要因ともいえる Shadow Hunt 脅威ハンティングのマネージドサービスでは、調査のために機械学習からの信号が人間のアナリストに提供されます。自社の API を把握できるということは、API アクティビティを記録し、違反の可能性があればそれを検知し、顧客データの安全を維持できるということです。

金融テクノロジー企業、Earnin 社の CISO である Stan Lee 氏は次のように述べています。「Akamai の API Security は、すべてのアプリケーションの重要な API を検出し監視するためにとても役立っています。当社は、この製品のおかげで、コンプライアンスとリスク管理を強化しながら、ビジネスプロセスのアジリティと成果を取得できました。」

「残念ながら、最近発生した情報漏えい事件から、API セキュリティソリューションが不可欠であることが明らかとなりました。今はもう、API ベースの攻撃を防御するためにエンドポイントを保護して認証情報をチェックするだけでは不十分です。」と Akamai の Application Security 部門で Senior Vice President と General Manager を兼務する Rupesh Chokshi はこのように指摘します。また、「Akamai の API Security は、プラットフォームやゲートウェイの種類に関係なく API のふるまいを監視する機能を提供できるので、ビジネスプロセスが円滑かつ安全に機能していることを確認できます。」とも述べています。

Forrester Research は、最近の攻撃を踏まえ、次のように API セキュリティの重要性を指摘しました。「API セキュリティは 2023 年注目のアプリケーション・セキュリティ・ツールです。API は 2022 年に何度かトップニュースに登場しました。たとえば、Optus は 980 万人の顧客の個人情報を盗まれ、身代金を要求されましたが、これは認証を求めることなく API が公開されていたためでした。被害にあったのは Optus だけではありません。 Twitter、 T-Mobile、そして 法執行機関のアプリケーション までも、API の脆弱性によってデータを流出させました。一方で良いニュースもあります。グローバルセキュリティの意思決定者らが、2020 年から 2022 年までの期間に API セキュリティの採用が増加し、それによる速度や機能の低下は見られないと報告しています。増加したセキュリティ予算は、API の インベントリとセキュリティ確保 に充てるべきです。」（State of Application Security, 2023、Forrester Research, Inc.、2023 年 6 月 7 日）

API Security は、Akamai の既存の App & API Protector （AAP）ソリューションを補完するものです。これらを併用することで、最大限に包括的なグローバル防御が実現し、エンタープライズ規模の可視性、API アクティビティのふるまい分析、攻撃および悪用の防御を結びつけることができます。このジョイント戦略によって、以下のことが可能となります。

• 広範なディスカバリー：Akamai のコンテンツ・デリバリー・ネットワークであるかどうかに関係なく、API を把握。
• 複層型の検知：シグネチャーベースの検知とふるまい検知の両方を利用。
• 対応のカスタマイズ：インラインでの脅威ブロックや問題修正。
• これらの防御機能すべてを 1 か所のコントロールセンターから簡単に導入。さらに、OWASP Top 10 脆弱性の両方のリストに対応し、API 脅威ハンティングの専門知識に確実にアクセス可能。

8 月 9～10 日にラスベガスで開催される 2023 Black Hat USA イベントでは、Akamai 経営陣が API Security について詳しくご説明いたします。ぜひ、Akamai ブース 2420 番にお立ち寄りください。