Aflac、API 攻撃に対するデジタルビジネスを強化

消費者が従来型のスタイルからデジタルインタラクションに移る傾向が続いています。そのような中、金融サービス企業は急ピッチでイノベーションを進めることが求められています。これも Aflac が直面している現実です。しかし、デジタル変革の目標を達成するためには、Aflac は新たなアプリケーションを導入するための「分散型」対「一元化」のアプローチを追求する必要がありました。このアプローチはリソース管理の観点では有益でしたが、すでに困難な状態となっていた資産管理シナリオの複雑化に拍車をかけることになりました。

さらに、同社は API 資産を可視化するために、既存の API ゲートウェイ に大きく依存するようになりました。これもまた、リーダーシップにとって重要な問題でした。API ゲートウェイは、API 配信スタックのコンポーネントです。しかし、API を適切に保護するために必要なセキュリティ制御や監視機能を利用できるようには設計されていないのです。また、ゲートウェイ外に実装された APl においては、可視化とセキュリティのさらなる強化の課題がもたらされました。

「弊社の API フットプリントが大きいことは承知していました。そこで、すべての API が把握されていること、API の運用が完全に可視化されていること、セキュリティリスクがないか継続的にテストしていることを確実にしたいと考えました。これは、テクノロジーフットプリントが拡大する中で攻撃のリスクに対処するための弊社の戦略にとって不可欠なものでした」と Goldsworthy 氏は述べています。

Aflac は、API 資産の全体像を把握するだけでなく、攻撃から APl を守る必要もあると考えるようになりました。確固とした評判とグローバルなリーチを考えれば、自分たちも標的にされる恐れがあることを十分に認識するようになったのです。また、可視性をもたらすだけでなく、脆弱性を修正したり攻撃に対処したりして、大々的に報道される問題に発展するのを回避できるようにする、総合的な API セキュリティソリューション が必要でした。

「Noname（現在は Akamai 傘下）は、弊社がテストしたソリューションの中でも、当初の要件を上回った最も高度で完全な API セキュリティソリューションでした。Noname（現在は Akamai 傘下）には現在のニーズに対応できるテクノロジーがあるだけでなく、ロードマップで確認したものが新たなセキュリティ課題に対応しているという点にも満足しています」と Goldsworthy 氏は付け加えました。

Aflac は Noname API Security Platform（現在は Akamai API Security の一部）を評価し、多くが AWS 環境に存在する自社の API を保護するための最も包括的なソリューションであると判断しました。このソリューションは API 探索と API ランタイム保護の両方を提供するため、同社は HTTP、RESTful、GraphQL、SOAP、XML-RPC、JSOF-RPC、gRPC などのあらゆるタイプの API を完全に可視化できます。

また、API 探索モジュールは、同社の API を通過するデータのタイプに関する知見をもたらします。これにより、Aflac では、どの APl が機微な情報にアクセスし、データアクセスの異常を特定できるかを可視化できるようになります。

つまり、リアルタイムの保護機能で API 攻撃を阻止できるようになります。このソリューションでは、データ漏洩、データ改ざん、データポリシー違反、疑わしいふるまい、API セキュリティ攻撃に対して、自動 Al や機械学習検知でリアルタイムのトラフィック分析を行い、コンテキストに沿った知見を提供します。

Akamai API Security はアウトオブバンドで実行され、VPC トラフィックミラーリングを活用して、Aflac の環境内で AWS Application Load Balancer から API トラフィックをコピーします。このアプローチにより、パフォーマンスに影響を与えることなく監視できるようになります。その後、EC2 インスタンスに配置された Akamai リモートエンジンにデータが転送され、詳細な分析が行われます。また、プラットフォームでは、実行ログやアクセスログを Amazon CloudWatch に送信して、Aflac の API ゲートウェイから情報を取得します。AWS エコシステム全体で提供される Akamai の幅広い統合により、Aflac は必要なサポートが得られ、データセキュリティの義務に自信を持って対処できるようになります。

Aflac は、日本を中心に、API のセキュリティ範囲をグローバル規模でどのように拡大させていくか、すでに精査を始めています。アジアは同社にとって急成長している市場であり、同社は新興市場の顧客に対して同じレベルのセキュリティを確保したいと考えています。これにより、市場で継続的に差別化を図るだけでなく、顧客第一の組織としての評判を強化することもできます。

また、Akamai API Security ソリューションのテストモジュールも実装しているので、開発中の脆弱性を特定し、本番環境に到達する前に脆弱性に対処できるようになります。シフトレフトアプローチに忠実に、このテストモジュールは API に重点を置いたセキュリティテストを提供します。セキュリティオペレーション担当者がこのテストをオンデマンドで実行したり、継続的インテグレーション／継続的デリバリー（Cl／CD）パイプラインの一部として実行したりすることにより、APl が安全に実装されるようにすることができます。Aflac では、Akamai API Security のテスト機能を戦略的メリットとして捉えています。包括的な API セキュリティ・テスト・ソリューションにより、テストの改善や既存アプリケーションのセキュリティツールの強化が期待できるからです。

「Aflac は、真の市場リーダーと協力し、API 資産のセキュリティを確保できることを嬉しく思います。弊社は、Noname Security プラットフォーム（現在は Akamai API Security の一部）、そのチーム、ビジョンを信頼しています。このチームにはイノベーションを起こす優れた能力があり、弊社は大きな価値を見出しています。それを考えると、このパートナーシップが将来的に何をもたらすのか楽しみです」と Goldsworthy 氏は締めくくりました。

Aflac Incorporated は 、米国および日本の子会社を通じて数百万社の保険契約者や顧客に金銭的補償を提供する、Fortune 500 の企業です。保険契約者または被保険者が病気になったり、怪我をしたりした場合、Aflac は条件を満たす保険金請求に関して、被保険者に直接（受取人が他に指定されていない限り）、速やかに現金で保険金を支払います。Aflac の任意保険は、60 年以上の間、金銭的な負担ではなく回復に集中する機会を保険契約者にもたらしてきました。