©2024 Akamai Technologies
Noname(現 Akamai)は、API セキュリティに対する企業のアプローチを根本的に改革する知見に優れた企業です。継続的にイノベーションを行い、新たなセキュリティ課題を驚異的なペースで解決します。顧客の声に耳を傾け、顧客の成功に投資することで、継続的に成果を上げています。
Aflac 社、セキュリティ運用および脅威管理担当 Vice President、DJ Goldsworthy 氏
可視性の欠如が Aflac の最大の懸念事項
消費者が従来型のスタイルからデジタルインタラクションに移る傾向が続いています。そのような中、金融サービス企業は急ピッチでイノベーションを進めることが求められています。これも Aflac が直面している現実です。しかし、デジタル変革の目標を達成するためには、Aflac は新たなアプリケーションを導入するための「分散型」対「一元化」のアプローチを追求する必要がありました。このアプローチはリソース管理の観点では有益でしたが、すでに困難な状態となっていた資産管理シナリオの複雑化に拍車をかけることになりました。
さらに、同社は API 資産を可視化するために、既存の API ゲートウェイ に大きく依存するようになりました。これもまた、リーダーシップにとって重要な問題でした。API ゲートウェイは、API 配信スタックのコンポーネントです。しかし、API を適切に保護するために必要なセキュリティ制御や監視機能を利用できるようには設計されていないのです。また、ゲートウェイ外に実装された APl においては、可視化とセキュリティのさらなる強化の課題がもたらされました。
「弊社の API フットプリントが大きいことは承知していました。そこで、すべての API が把握されていること、API の運用が完全に可視化されていること、セキュリティリスクがないか継続的にテストしていることを確実にしたいと考えました。これは、テクノロジーフットプリントが拡大する中で攻撃のリスクに対処するための弊社の戦略にとって不可欠なものでした」と Goldsworthy 氏は述べています。
お客様の顧客とレガシーを保護する
Aflac は、API 資産の全体像を把握するだけでなく、攻撃から APl を守る必要もあると考えるようになりました。確固とした評判とグローバルなリーチを考えれば、自分たちも標的にされる恐れがあることを十分に認識するようになったのです。また、可視性をもたらすだけでなく、脆弱性を修正したり攻撃に対処したりして、大々的に報道される問題に発展するのを回避できるようにする、総合的な API セキュリティソリューション が必要でした。
「Noname(現在は Akamai 傘下)は、弊社がテストしたソリューションの中でも、当初の要件を上回った最も高度で完全な API セキュリティソリューションでした。Noname(現在は Akamai 傘下)には現在のニーズに対応できるテクノロジーがあるだけでなく、ロードマップで確認したものが新たなセキュリティ課題に対応しているという点にも満足しています」と Goldsworthy 氏は付け加えました。
Aflac、マーケットリーダーを選ぶ
Aflac は Noname API Security Platform(現在は Akamai API Security の一部)を評価し、多くが AWS 環境に存在する自社の API を保護するための最も包括的なソリューションであると判断しました。このソリューションは API 探索と API ランタイム保護の両方を提供するため、同社は HTTP、RESTful、GraphQL、SOAP、XML-RPC、JSOF-RPC、gRPC などのあらゆるタイプの API を完全に可視化できます。
また、API 探索モジュールは、同社の API を通過するデータのタイプに関する知見をもたらします。これにより、Aflac では、どの APl が機微な情報にアクセスし、データアクセスの異常を特定できるかを可視化できるようになります。
つまり、リアルタイムの保護機能で API 攻撃を阻止できるようになります。このソリューションでは、データ漏洩、データ改ざん、データポリシー違反、疑わしいふるまい、API セキュリティ攻撃に対して、自動 Al や機械学習検知でリアルタイムのトラフィック分析を行い、コンテキストに沿った知見を提供します。
Akamai API Security はアウトオブバンドで実行され、VPC トラフィックミラーリングを活用して、Aflac の環境内で AWS Application Load Balancer から API トラフィックをコピーします。このアプローチにより、パフォーマンスに影響を与えることなく監視できるようになります。その後、EC2 インスタンスに配置された Akamai リモートエンジンにデータが転送され、詳細な分析が行われます。また、プラットフォームでは、実行ログやアクセスログを Amazon CloudWatch に送信して、Aflac の API ゲートウェイから情報を取得します。AWS エコシステム全体で提供される Akamai の幅広い統合により、Aflac は必要なサポートが得られ、データセキュリティの義務に自信を持って対処できるようになります。
Akamai API Security で Aflac はどのように成長しようとしているのか
Aflac は、日本を中心に、API のセキュリティ範囲をグローバル規模でどのように拡大させていくか、すでに精査を始めています。アジアは同社にとって急成長している市場であり、同社は新興市場の顧客に対して同じレベルのセキュリティを確保したいと考えています。これにより、市場で継続的に差別化を図るだけでなく、顧客第一の組織としての評判を強化することもできます。
また、Akamai API Security ソリューションのテストモジュールも実装しているので、開発中の脆弱性を特定し、本番環境に到達する前に脆弱性に対処できるようになります。シフトレフトアプローチに忠実に、このテストモジュールは API に重点を置いたセキュリティテストを提供します。セキュリティオペレーション担当者がこのテストをオンデマンドで実行したり、継続的インテグレーション/継続的デリバリー(Cl/CD)パイプラインの一部として実行したりすることにより、APl が安全に実装されるようにすることができます。Aflac では、Akamai API Security のテスト機能を戦略的メリットとして捉えています。包括的な API セキュリティ・テスト・ソリューションにより、テストの改善や既存アプリケーションのセキュリティツールの強化が期待できるからです。
「Aflac は、真の市場リーダーと協力し、API 資産のセキュリティを確保できることを嬉しく思います。弊社は、Noname Security プラットフォーム(現在は Akamai API Security の一部)、そのチーム、ビジョンを信頼しています。このチームにはイノベーションを起こす優れた能力があり、弊社は大きな価値を見出しています。それを考えると、このパートナーシップが将来的に何をもたらすのか楽しみです」と Goldsworthy 氏は締めくくりました。
Aflac について
Aflac Incorporated は 、米国および日本の子会社を通じて数百万社の保険契約者や顧客に金銭的補償を提供する、Fortune 500 の企業です。保険契約者または被保険者が病気になったり、怪我をしたりした場合、Aflac は条件を満たす保険金請求に関して、被保険者に直接(受取人が他に指定されていない限り)、速やかに現金で保険金を支払います。Aflac の任意保険は、60 年以上の間、金銭的な負担ではなく回復に集中する機会を保険契約者にもたらしてきました。
Akamai について
Akamai はサイバーセキュリティとクラウドコンピューティングを提供することで、オンラインビジネスの力となり、守っています。当社の市場をリードするセキュリティソリューション、優れた脅威インテリジェンス、グローバル運用チームによって、あらゆる場所でエンタープライズデータとアプリケーションを保護する多層防御を利用いただけます。Akamai のフルスタック・クラウド・コンピューティング・ソリューションは、世界で最も分散されたプラットフォームで高いパフォーマンスとコストを実現しています。多くのグローバルエンタープライズが、自社ビジネスの成長に必要な業界最高レベルの信頼性、拡張性、専門知識の提供について Akamai に信頼を寄せています。詳細は akamai.com および akamai.com/blogをご覧いただくか、 X と LinkedInで Akamai をフォローしてください。