人事ソフトウェアのイノベーターが API のセキュリティを確保

2015 年以来、HiBob は今日の労働環境における組織のあり方に変革をもたらすべく努力を重ねてきました。革新的な企業として、人事プラットフォーム「Bob」を通じ、その変革と未来の職場を実現しています。「Bob」は、複雑な人事プロセスのすべてを 1 つにまとめた画期的でユーザーフレンドリーなツールであり、ビジネスに関わるすべての従業員にメリットをもたらします。Bob を使用すれば、組織は採用のスピードを上げ、優秀な人材を維持し、従業員エンゲージメントを高めることができます。このように革新的な機能を提供することで、HiBob は年間経常収益（ARR）1,000 万米ドルの節目を迎えてからわずか 3 年足らずで、ARR 1 億米ドルを突破することができました。API の開発と導入におけるセキュリティ強化の必要性を認識した同社は、 Akamai API Securityにその解決策を見出しました。

多くの業界イノベーターと同じように、HiBob も API を基盤とした迅速な開発プロセスを採用しています。このアジャイルなアプローチにより、3,500 を超える顧客に対して継続的に新機能や更新機能を提供することが可能です。しかし、HiBob を取り巻く環境は刻々と変化しており、セキュリティの確保もより困難になっています。そこに潜むセキュリティギャップに対処する必要性を認識した同社は、開発者と DevOps チームに対し、セキュリティについてセキュリティチームと同等の責任を持たせることにしました。

これはセキュリティ態勢を強化する上で重要なステップでしたが、会社自体にもセキュリティチーム、開発者、DevOps をサポートし、会社の API 資産をより正確に把握する必要が生じました。HiBob の Global CISO である Tamir Ronen 氏が説明するように、企業はサービスの接続やデータの転送の主要テクノロジーとして API を使用していますが、多くの組織は API のセキュリティ確保に苦慮しています。

「API 攻撃のパターンは決まっていません。その結果、 Web アプリケーションファイアウォール （WAF）では API の中心となっているビジネスロジックに関する知見を得られることはほとんどなく、セキュリティも限定的です。さらに、新しいビジネスロジックが新しいプロセスに現れた場合、WAF は役に立ちません」と彼は言います。

機微な顧客情報が API 経由で転送されることから、Ronen 氏は API のビジネスロジックとデータ転送を考慮して設計されたセキュリティソリューションが必要だと考えました。「当社のようにハイペースで進行する企業では、API の可視性を高め、ビジネスロジックの変更を安全に実施、展開する方法が必要です」と同氏は続けます。

Ronen 氏は、その解決策を Akamai API Security に見出しました。同氏によれば、最も重要な機能はデータ暗号化です。「Akamai Connected Cloud に送信されるデータを暗号化することで、外部へのデータ漏洩のリスクを回避し、さらに API Security がデータのハッシュ化された値に基づいて API の使用状況やビジネスロジックを安全に学習します。」と同氏は言います。

また、API 探索機能も高く評価しています。これは、保護されていない API を検知し、その中でも頻繁に更新される API のリストを表示する機能です。「テンポの速い環境での探索は非常に重要です。なぜなら、本来あるべきでないデータを含むペイロードを API が返した場合、開発プロセスにおける 1 つのミスが侵害を引き起こす可能性があるからです。私たちのレーダーをかいくぐり、リスクの潜在的な経路となりうるシャドウエンドポイントも同様です」

それと同様に重要なのが、HiBob の API 資産全体にわたる脅威やロジック乱用を検知し、それらを緩和するためのレスポンスをトリガーする、ふるまい分析機能です。「ふるまい分析は、絶えず変化する環境下で API に関わる問題を追跡するのに不可欠です」と Ronen 氏は説明します。

API Security ShadowHunt を活用することも、同様にメリットがあります。これは、API の脅威ハンティングに精通した Akamai の専門アナリストが提供するマネージド脅威ハンティングサービスです。

API Security をシンプルに導入した HiBob は、初日からその価値を実感しました。「API ポートフォリオの可視化だけでも素晴らしいものでした」と Ronen 氏は言います。

さらに、ふるまい分析もメリットが大きいことがすぐにわかりました。同社にとって、ビジネスワークフローに何か疑わしいことが起きた場合、それを把握することは重要です。API Security によって、同社は許容できるユーザーアクションのベースラインを作成することができました。「このベースラインを超えるアクションがあると自動的にアラートが送信され、調査が要求されます。問題をフォローアップするタイミングがわかるだけでなく、API Security を使用するようになってから、API 関連の問題やイベントの分析にかかる時間が 25% 短縮されました。」と Ronen 氏。

さらに、 Akamai の脅威ハンティング専門家と協力し、同氏とそのチームは、パブリック API から API コールが行なわれた際に、何者かが同社の WAF を回避したことを通知するアラートを構築しました。

それだけではありません。Akamai のソリューションは、ネットワークとエンドポイントにおける API セキュリティについて、セキュリティチームと DevOps チームが共通の言語を使用できるよう支援します。これにより、エンドポイントの使用やデータフローに関わる特定の API のふるまいに関する詳細や統計をセキュリティチームが API Security を通じて伝えると、開発チームは即座に対応することができます。「Akamai API Security のおかげで、当社の重要な API 資産のセキュリティを確保しながら、セキュリティチームと開発チームのコラボレーションをさらに強化することができました。」と Ronen 氏は締めくくっています。

HiBob は、人事プラットフォーム「Bob」を通じて、今日の労働環境における組織のあり方を変革することを使命としています。未来の職場づくりの最先端に立っている Bob は、複雑な人事プロセスすべてに対応できる、耐障害性が高くアジャイルなテクノロジーをもたらします。ビジネス全体にわたって従業員一人ひとりを取りこぼすことのない、画期的でユーザーフレンドリーなツールです。

Akamai はオンラインライフの力となり、守っています。世界の先進企業が Akamai を選び、安全なデジタル体験を構築して提供することで、Akamai は、毎日、世界中の人々の生活、仕事、娯楽をサポートしています。 超分散型のエッジおよびクラウドプラットフォームである Akamai Connected Cloud は、アプリと体験をユーザーに近づけ、脅威を遠ざけます。 Akamai のクラウドコンピューティング、セキュリティ、コンテンツデリバリーの各ソリューションの詳細については、 akamai.com および akamai.com/blogをご覧いただくか、 X（旧 Twitter）、および LinkedInで Akamai Technologies をフォローしてください。