Apiiro、コードからランタイムまでの完全な API セキュリティを提供

Apiiro は、アプリケーション・セキュリティ・ポスチャ管理（ASPM）のプラットフォームとして、アプリケーションをクラウドに安全に配信するために必要な知見をアプリケーションセキュリティや開発のチームに提供しています。ふるまい分析による 脅威探索 やアラートから API 管理や脅威の修復まで、API 保護のエコシステムを完成させるために、Apiiro は Akamai と提携を結びました。Apiiro のプラットフォームの機能と Akamai のランタイムをつなぐ API セキュリティにより、組織はコードから本番までシームレスに API のセキュリティを確保できるようになりました。

アプリケーションセキュリティおよび開発チームは、クラウドに展開する前に API セキュリティ制御を検証する必要があります。Apiiro は詳細なコード分析とランタイムコンテキストを使用して、組織のコードベースをスキャンし、それをコンテキストでエンリッチ化し、コード内のすべての API を検知します。その結果、開発者はコードをクラウドに展開する前に、リスクの優先順位を設定して修正できるようになります。

Apiiro 共同設立者兼 CEO の Idan Plotnik 氏は次のように語ります。「API が急速に開発およびリリースされ、アタックサーフェスが継続的に拡大しています。コードで API を保護するだけでは不十分です。組織は、侵害が発生することがあるのなら平均修復時間を短縮したいと考えています」

Apiiro は Akamai API Security に関連付けられたオープン API を使用して、コードとランタイム内の API のリアルタイムインベントリを組織に提供すると同時に、脅威のエスカレーションを防止しました。

API Security と Apiiro のプラットフォームを組み合わせることで、Akamai が検知したランタイム API のリスクを API コードに紐づけることが可能になりました。Apiiro は、根本原因、コードリポジトリ、特定のコード行、コード所有者などのコードコンテキストをセキュリティチームが完全に可視化できるようにしました。また、セキュリティチームは、セキュリティアラートの原因となった問題を正確に特定できるようになり、リスクアラートを評価しなくて済むようになります。また、担当開発者の特定や連絡も必要ありませんでした。

Apiiro は、アラートとリスクベースのコンテキストに加え、API Security が提示する実行可能な修正に関するアドバイスを、関連するコード所有者に提供しました。Apiiro のコードに関する詳細なコンテキスト情報と、API Security から得られる API のふるまいや脅威に関する知見を結び付けることで、開発者はリスクの可能性と影響をより正確に判断できるようになりました。これにより、ビジネスクリティカルな API リスクの優先順位付けが可能になります。

さらに、Plotnik 氏は、「Akamai と Apiiro の連携により、組織は戦略的にリスクを軽減しながら、貴重な時間を節約し、SLA を満たすことができます」と、コメントしています。セキュリティチームでは、適切な開発者を追跡したり、緊急の修正をリクエストしたりする時間が短縮されました。 さらに、開発者は API の脅威を明確に把握して、問題をより迅速に修正できるようになります。

「Apiiro の詳細なコード分析から得られた知見と、Akamai API Security が提供するランタイム API セキュリティの知見を組み合わせることで、弊社は重要な API リスクの優先順位付け、修正、防止を行うために必要なコンテキストをお客様に提供します」と、Plotnik 氏は締めくくりました。

Apiiroは、Morgan Stanley、楽天、Sofi、Colgate などの企業のアプリケーション・セキュリティ・チームやアプリケーション開発チームを支援し、アプリケーションのリスクの可視化、優先順位付け、評価、修正を一元化することにより、セキュリティに関する調査結果のトリアージ（対処の優先順位付け）にかかる時間を短縮し、真のリスクを修正して、安全なアプリケーションをクラウドに提供できるようにしています。同社は Greylock、Kleiner Perkins、General Catalyst の支援を受けています。