API Security

組織全体の全 API の包括的なインベントリを継続的に更新し、維持することは、あらゆる API セキュリティ戦略の基盤となる重要な機能です。API 攻撃に関連するリスクは重大であるため、オンデマンドの探索や 1 日 1 回の探索では不十分です。さらに、セキュリティ、開発、運用の主要なチームメンバーが API がどのように使用または悪用されているかを理解できるようにするためには、実際の API のふるまい（API コール）を視覚化する必要があります。そうすることで、組織のチーム全体でのコミュニケーションと調査が容易になります。 

API Security は、さまざまなテクノロジーやインフラの API の探索を自動化し、継続的に実行します。また、新たに展開された API を特定し、その API のプロパティを既存のドキュメントと比較します。API Security は、見逃されることの多いシャドウ API や、 OWASP Top 10 API セキュリティリスクに記載されている API の脆弱性を検出できます。 

API 探索は継続的なプロセスであり、Akamai は新しい API と既存の API への変更を 24 時間体制で継続的に監視します。お客様のセキュリティチームは、他に類を見ない可視性を手に入れ、開発者が新しい API やサービスを展開したことを真っ先に知ることができます。

API は、企業が展開するあらゆるデジタル製品とサービスに活用されています。そのため、API の範囲と規模が拡大しているのは当然です。しかし、このような急速な普及により、API スプロールが発生し、アタックサーフェスが変化しています。

現在の攻撃者は、ソフトウェアのバグや設定エラーなど、次の目的で悪用できる API の脆弱性を探しています。

• 機密性の高いアプリケーション機能へのアクセス
• 機微な情報の発見、侵害、窃取
• 悪性の方法での API の悪用 

OWASP Top 10 API セキュリティリスク は、組織が特定と対処を試みる必要がある、最も一般的に悪用されている API の脆弱性と脅威について、有益な情報を要約して提供します。

API セキュリティを実行することで、セキュリティチーム、開発者チーム、および API チームに潜在的なリスク、設定エラー、脆弱性を迅速に通知し、脆弱な API や誤って設定された API が原因で企業が API 攻撃にさらされるのを防ぐことができます。また、パートナーによる API の設定に誤りがあるのか、またはコードに脆弱性があるのかを、簡単に見極めることができます。 

コンテキストアラートと条件付きアラートは、Jira チケットの自動作成など、既存のワークフロー内でシームレスに機能するため、問題の迅速な解決が可能になります。

API はプログラマティックに使用するように設計されているため、正当な使用と攻撃や悪用を区別するのは極めて困難です。

API 攻撃の手法はさまざまですが、最も一般的な手法には次のようなものがあります。

• ビジネスロジックの悪用。 ビジネスロジック攻撃は、アプリケーションの設計上または実装上の欠陥を突いて、攻撃者に利益をもたらす想定外のふるまいや許可されていないふるまいをさせることです。
• 不正なデータアクセス。 この攻撃手法は、認証や承認の機能が破損していることを悪用し、制限された情報にアクセスすることができます。
• アカウントの乗っ取り。 アカウントの乗っ取りは、認証情報の窃取またはクロスサイトスクリプティング攻撃に依存して、正当なユーザーになりすまして API を悪用する手法です。
• データスクレイピング。 悪意のある攻撃者が、大量の貴重なデータセットの大規模なキャプチャを実行するために、公開されているリソースを積極的にクエリーする場合があります。
• ビジネスサービス妨害（DoS）。 無制限の API コールにより、アプリケーションレイヤーで「サービスの崩壊」または完全なサービス妨害が引き起こされます。

これらの潜在的な API セキュリティリスクを検出して防止するには、より広範なアプリケーションセキュリティ戦略の一環として、専用の API セキュリティソリューションで使用できる高度な制御を使用する必要があります。