大手保険会社が API セキュリティの大きなギャップを解消

1978 年にイスラエルで設立された Clal Insurance and Finance 社は、有数の保険および長期貯蓄会社であり、監督している資産は総額 3,320 億新シェケル*（908.7 億米ドル）に達します。3　つの部門を通じて、個人顧客と法人顧客にさまざまなサービスと製品を提供しており、約 4,400 人の従業員が 3,700 の保険代理店と協力して、高品質のサービスと専門的なサポートをお客様に提供しています。

同社は API をベースとした デジタルトランスフォーメーション を推進しています。これにより、シームレスなイノベーションが促進され、ビジネスパートナー、その他のフィンテック企業、顧客とのデータ交換において先行者利益を得ています。しかし、この API エコシステムにより、潜在的な脅威につながる新たな経路も生じています。これは、頻繁にサイバー攻撃の標的となる国であるイスラエルにおいて、特に差し迫った問題です。 Akamai API Securityを導入することにより、Clal Insurance and Finance は次の 3 つの目標を達成しました。

1. すべての API の探索とインベントリの自動化
2. 修復プロセスの自動化
3. API セキュリティ体制の改善

Clal は他社のトラフィックマネージャー、セキュリティ情報およびイベント管理ソリューション、Web アプリケーションファイアウォールを使用して Web サイトのセキュリティを確保していました。しかし、同社の API インベントリは重要かつ広範であったため、そのようなセキュリティ対策は不十分でした。

Clal のエコシステムは、Clal Express のような革新的なサービスを支えています。Clal Express は、顧客が自己負担費用を削減できるようにする Web サービスです。同社は組織全体で API が大幅に増加したことを受けて、このサービスを管理し、セキュリティを確保したいと考えていました。

新型コロナウイルスが拡大した際、Clal は API ゲートウェイ ソリューションを展開し、すでに構築を開始していた API エコシステムを一元化しました。Clal の CTO である Haim Inger 氏は次のように述べています。「弊社の Web サイトでは 600 以上の API、エンタープライズ全体では数千もの API が公開されており、それらを明確に把握できていないことに気づきました」

API ゲートウェイは API 環境に関する部分的な知見をもたらしますが、セキュリティソリューションではありません。実際、API ゲートウェイを使用している企業は、そのセキュリティを確保する必要があります。「API ゲートウェイのセキュリティを確保するためのソリューションを探し始めたところ、当時の弊社の状況と API Securityを利用して実現したい姿との間にギャップがあることがわかりました」と Inger 氏は続けました。

API ポートフォリオの可視性と API 内の脅威や脆弱性の悪用を検知する機能を求めて、同氏のセキュリティチームはソリューションを評価しました。必要としていたのは、トランザクションの異常をチェックし、API のふるまいを考慮してルールの変更を最小限に抑えられるだけでなく、簡単に展開できるソリューションでした。

3 つのソリューションを評価した結果、Inger 氏はクラウドベースの Akamai API Security を選択しました。「展開には数か月かかると予想していましたが、驚いたことにわずか 4 日で F5、Splunk、そしてすべての API と統合できました」と Inger 氏は語りました。

API Security の導入後、同社はすぐにその価値を実感しました。他のソリューションではセキュリティチームが各 API を確認し、必要なふるまいのみを促すルールを作成する必要がありますが、Akamai のソリューションは同社の API エコシステムの状態を自動的にインベントリして評価します。

「何もしなくても API 資産の状態を把握できました。弊社の API に関するトークン化されたデータをインジェストした後、Akamai ソリューションは修正すべき点とその修正方法についての知見を自動的に提供してくれました」と Inger 氏は説明しました。

Clal の API の初期インベントリと分析を実施して以来、Akamai API Security はエコシステムのインベントリと分析を継続的に行っています。「探索プロセスは非常に重要です。どの API がどのように使用されているかを継続的に把握し、使用されなくなった API を閉じることができるからです」

また、Akamai のソリューションは、リスク監査とふるまい分析を通じて、脆弱性や異常を継続的に明らかにし、報告します。たとえば、API 内で安全でない方法で転送されているクレジットカードのデータや、許可されていない方法で API を使用するフィンテックパートナーなどです。どのような場合でも、API Security は API が攻撃経路にならないように同社を支援します。

Inger 氏のチームは、ソリューションを API Security ShadowHuntとペアリングできることも大きく評価しました。これは、マネージド型脅威ハンティングサービスであり、API 脅威ハンティングに熟達した Akamai のエキスパートアナリストが支援します。

「たとえば、API へのアクセス方法やアクセス頻度の異常なパターンについて、アラートが発せられます。この通知により、脆弱性を直ちに修正し、お客様のデータへのアクセスや侵害を防止できます」と述べています。

API エコシステムを正確に可視化し、潜在的な問題に関する通知を即座に受けられれば、同社のセキュリティ体制の強化だけでなく、パートナーシップの強化や途切れることのないビジネスの実現につながります。「以前は、フィンテックパートナーが攻撃を受けた場合、関連事業を停止していました。今では API の脆弱性に対処し、重要なパートナーシップを維持できるようになりました」

API Security と ShadowHunt を導入してから 2 年目の現在、彼のチームは満足しています。「ソリューションとサービスは約束どおりに提供されています。さらに、API Security はクラウドベースなので、私たちがメンテナンスやアップグレードを行う必要はありません」

また、Akamai は同社の開発環境と本番環境全体を可視化し、セキュリティアラートを発します。これらは極めて有益です。「Akamai は弊社の API 環境で可能な限り強力なセキュリティ体制を確立するために力を尽くしてくれています」と Inger 氏は締めくくりました。

Clal Holdings は、主に Clal Insurance and Finance とクレジットカード会社 MAX の株式を保有している持株会社です。Clal Insurance Enterprises Holdings の株式は公開されており、支配株主はおらず、テルアビブ証券取引所で取引されています。同社の株式の 14.1% を Alrov Real Estate and Hotels Ltd.、7.0% を Phoenix Group、6.6% を Harel Group、5.1% を Shalom Shai 氏（Dona Engineering & Construction Co. Ltd.）が保有しています。総経過保険料に関して、同グループの市場シェアは保険市場全体の 15% であり（2022 年時点）、管理資産は 3,320 億新シェケルを超えています（2023 年 9 月現在）。2023 年 3 月、Clal は米国の投資ファンドである Warburg Pincus とそのパートナーから Max を買収しました。Clal Group は、年金、共済および高等訓練基金、一般保険（自動車保険や住宅保険）、健康保険、クレジットカードなど、複数の多様な保険分野や長期貯蓄分野で事業を展開しています。さらに、住宅ローンや信用保険を取り扱う保険会社の中でも特有の活動を行っています。2023 年以降、同グループはクレジットカード業界でも積極的に活動してきました。Clal Group は、保険代理店、年金基金、共済基金、訓練基金、信用保険会社を所有しています。2022 年 12 月現在、同グループは Clal Insurance and Finance および保険代理店の従業員 4,403 人と、Max の従業員 1,337 人を擁しています。そして、全従業員が、Cal はイスラエル有数の長期保険および貯蓄グループの 1 つであると考えています。