日本語
English
Français
Deutsch
Español
Italiano
Português
한국어
Русский
サイバーセキュリティの最前線で活躍する9つのAPIセキュリティツール
ジョン・ブリーデン二世著
CSO |
アプリケーション プログラミング インターフェイス (API) は、ネットワーキング、プログラム、アプリケーション、デバイス、その他コンピューティング環境のほぼすべてのものにとって重要な部分になっています。 これは特にクラウド コンピューティングとモバイル コンピューティングに当てはまります。API がすべてをまとめたり、バックエンド機能の多くを管理したりしなければ、おそらくどちらも現在の形で存在することはできません。
API は、その信頼性とシンプルさにより、コンピューティング環境全体で広く普及しています。 おそらくほとんどの組織は、ネットワーク内、特にクラウド内で動作している API の数さえ知りません。 大企業内では数千の API が稼働している可能性があり、小規模な組織でもおそらく認識されているよりも多くの API に依存している可能性があります。
API は便利になっていますが、その使用には危険も生じています。 API 作成の標準がほとんどなく、その多くが独自であるため、API が悪用可能な脆弱性を含んでいることは珍しくありません。 悪意のある攻撃者は、多くの場合、プログラム、データベース、アプリケーション、またはネットワークを直接攻撃するよりも、API を攻撃する方がはるかに簡単であることに気づきました。 API の機能が侵害されると変更するのは難しくないため、API はハッカーにとって有利な内部関係者のようなものになります。
API に関するもう 1 つの大きな危険は、API がほとんどの場合、過剰な権限を与えられてしまうことです。 プログラマーは、中断することなく機能を実行できるように、高い権限をユーザーに与えます。 しかし、攻撃者が API を侵害すると、あたかも人間の管理者のアカウントを侵害したかのように、その高い権限を他の操作に使用する可能性があります。 これは非常に問題になっているため、Akamai の調査によると、API に対する攻撃が世界中のすべての認証情報窃取の試みの 75% を占めているとのことです。 攻撃者は、API が脆弱であることと遍在性の両方を認識しており、API を狙っています。
API ハッキングの問題の深刻さを考えると、API セキュリティ ツールの数が近年急増しているのも不思議ではありません。 API を保護するために設計された商用ツールが数十あるほか、無料またはオープンソースのツールも数百あります。 多くは他の種類のサイバーセキュリティ プログラムと類似点や機能を共有していますが、代わりに API の固有の性質に合わせて特別に構成されています。
一般に、API セキュリティ ツールはいくつかのカテゴリのいずれかに分類されますが、すべてを一度に実行しようとする完全なプラットフォームを提供するものもあります。 最近最も人気のあるタイプの API セキュリティ ツールは、API ファイアウォールのような、悪意のあるリクエストから API を保護するものです。 他のツールは、特定の API に動的にアクセスして評価し、脆弱性を探し、そのコードを攻撃に対して強化できるように設計されています。 さらに、組織がネットワーク内に存在する API の数を発見できるように、環境をスキャンするだけで、知らないものは誰も保護できないという考えを持つ企業もいます。
API サイバーセキュリティ ツールの完全なリストを作成しようとすると、その数の多さを考えると困難になります。 しかし、ユーザーと商用レビューの両方を研究することで、いくつかのツールが目立ち始めます。 以下に、API セキュリティの強化に役立つ主なツールの一部を示し、その長所と機能を簡単に説明します。 このリストを作成する人は数百人ではありませんが、これは、今日のますます敵対的な脅威の状況に対して API を保護しようとするときに、何が利用可能で、何が可能であるかの良いスナップショットを提供するはずです。
現在利用可能な 9 つの主要なセキュリティ ツールを以下に示します。
最も人気のある API セキュリティ ツールの 1 つである APIsec は、ほぼ完全に自動化されているため、API セキュリティの向上を始めたばかりの組織に最適です。 API がすでに確立されている運用環境では、APIsec が API をスキャンし、スクリプト インジェクション攻撃などの一般的な脆弱性に対してテストします。 ただし、各 API を完全にストレス テストして、検出が容易ではないビジネス プロセス攻撃などに対して強化されていることを確認します。 問題が見つかった場合は、セキュリティ アナリスト向けの詳細な結果とともにフラグが付けられます。
APIsec は、API の作成時に開発者が積極的に使用することもできます。 こうすることで、API が公開される前にあらゆる脆弱性を解消でき、APIsec は API のデプロイ後も万が一に備えて監視を続けます。
Astra は無料のツールですが、サポートが限定されているため、ユーザーは GitHub から入手して自分の環境にインストールする必要があります。 とはいえ、このツールは、非常に特殊なタイプの API の管理と保護に役立つという点で優れた評判を得ています。
Astra は主に Representational State Transfer (REST) API に重点を置いていますが、API は頻繁に変更されるため、テストとセキュリティ保護が非常に困難になる可能性があります。 Astra は、組織の継続的インテグレーションおよび継続的デリバリー (CI/CD) パイプラインに統合することで役立ちます。 これにより、API に影響を与える可能性のある最も一般的な脆弱性が、機能の一部として常に変更されるため、安全であると思われる REST API に侵入しないことが保証されます。
AppKnox は、ユーザー ベースを非常にサポートしていることで知られています。 このプラットフォームはそもそも非常に使いやすいインターフェースを備えていますが、同社は導入および使用時に多くのヘルプも提供します。 AppKnox は、最小限の労力で API セキュリティの追加をサポートできるため、小規模なセキュリティ チームを持つ多くの組織に導入されています。
AppKnox をインストールすると、HTTP リクエストの脆弱性、SQL インジェクションの隙など、一般的な問題がないか API をテストします。 また、API に接続するすべてのリソースをスキャンして、それらがハッカーにとって有効な攻撃パスにならないようにします。
Cequence Unified API Protection プラットフォームは、毎日 API に対して行われる数十億のリクエストを処理する必要があるエンタープライズ環境を導入している組織向けに設計されています。 スケーラブルな保護プラットフォームは、まず組織内のすべての API を検出し、それらを広範なインベントリにファイルします。 その後、API に脆弱性の一般的なテストを行うことも、セキュリティ チームが API のグループに対して実行する必要がある特定のテストを定義することもできます。 これは、API を保護するだけでなく、特定の保護を必要とする政府や業界の規制に準拠するのにも非常に役立ちます。
また、Cequence のエンタープライズ重視に役立つのは、攻撃や API との不審なやり取りに応じて実行する必要がある自動保護やアクションを設定する機能です。 Cequence 自体がこれを処理するため、保護を有効にするためにファイアウォールなどの外部セキュリティ デバイスを含める必要はありません。 これにより、外部周辺機器の負荷が軽減され、応答時間が短縮されるため、API はほぼ瞬時に実際の脅威から保護されます。
Data Theorem API Secure は、ネットワーク、クラウド、アプリケーション、またはその他のターゲット内に存在するすべての API をインベントリできます。 そのため、API セキュリティを強化したいが、どこから始めればよいか、使用している API の数さえわからない組織にとって、これは最適な選択肢となります。 また、API Secure は API インベントリを最新の状態に保ち、新しい API がデプロイされるとすぐに見つけます。
発見されると、API Secure はハッカーのように動作し、すべての API の脆弱性をテストします。 その後、人間がその API にフラグを立てて、多くの脆弱性を独自に検査または自動的に修復できるようになります。
Salt Security API Protection Platform は非常に先進的で、API に対する脅威を検出して阻止するために人工知能と機械学習を完全に活用した最初のプラットフォームの 1 つです。 このプラットフォームは、ネットワーク全体で API トラフィックを収集し、API に対してどのような呼び出しが行われているか、そして API がそれに応じて何をしているかを分析することによってこれを行います。 次に、ローカルで表示されているデータと、クラウドベースのビッグ データ エンジンに保存されているトラフィック データを比較します。 その後、ほとんどの攻撃を阻止し、不審なアクティビティを強調表示して、人間のセキュリティ チームに警告したり、設定に基づいて措置を講じたりすることができます。
プラットフォームは時間の経過とともに学習を続け、API のネットワークを長く調べるほど、その特定のネットワーク上で許容される動作を判断する際の精度が高くなります。
Noname Security は、大規模なエンタープライズ環境をサポートする大企業から高い評価を得ています。 フォーチュン 500 企業の 20% が使用していると報告されています。 これは、API を介して移動するトラフィック データを分析することにより、一部のプラットフォームで提供される標準的な API 脆弱性チェック保護を超えるように設計されました。 次に、AI と機械学習を利用して悪意のあるアクティビティを探します。
Noname Security は、テストで共通 API と非標準 API の両方の使用をサポートしています。 たとえば、HTTP、RESTful、GraphQL、SOAP、XML-RPC、JSON-RPC、gRPC API を完全にサポートします。 トラフィック データを使用すると、API ゲートウェイによって管理されていない API や、標準プロトコルに準拠していない独自の API を検索、カタログ化、保護することもできます。
開発環境に重点を置いた Smartbear ReadyAPI は、API の構築中に API のセキュリティ脆弱性をテストするだけでなく、パフォーマンスを監視するためにも使用できます。 そうすることで、開発者は、たとえば、API がセキュリティ上の問題となる可能性がある非常に大量のデータに遭遇した場合に何が起こるかを確認できます。
そのテストの一環として、ユーザーは開発中に API にどのような種類のトラフィックをスローするかを構成できます。また、ReadyAPI は組織のネットワークから実際のトラフィックをキャプチャし、それを非常に現実的なテストに使用できます。 ReadyAPI は、Git、Docker、Jenkins、Azure DevOps、TeamCity などをネイティブにサポートしています。
Wallarm エンドツーエンド API セキュリティ プラットフォームは、多くの API が存在するクラウドネイティブ環境で動作するように設計されていますが、オンプレミス機器に存在する API を保護するためにも動作できます。 これは、Open Web Application Security Project (OWASP) の脆弱性トップ リストにある脅威から、API に対してよく行われるクレデンシャル スタッフィングなどの特定の脅威に至るまで、API に対して行われるあらゆる種類の脅威から保護するように設計されています。
Wallarm は、分散型サービス拒否 (DDOS) 攻撃やボットによる偵察侵入、または完全な攻撃を軽減するのにも役立ちます。 今日のインターネット上のトラフィックのほとんどがボットで構成されているという事実を考えると、これはセキュリティ ツールにあると便利な機能です。
このプラットフォームは、ユーザー トラフィックに基づいて組織の API ポートフォリオ全体の詳細な調査と概要も提供します。これにより、セキュリティだけでなく、API が組織でどのように使用されているか、どの領域を改善する必要があるかについても洞察を得ることができます。 それは Wallarm プラットフォームの主な目的ではありませんが、詳細なレポートは、プラットフォームを使用する際のボーナスとして、セキュリティ以外の他の分野でも確かに役立ちます。
John Breeden II は、受賞歴のあるジャーナリスト兼評論家であり、テクノロジーをカバーする 20 年以上の経験があります。 彼は、あらゆる規模の組織向けにテクノロジーに関するソート リーダーシップ コンテンツを作成するグループである Tech Writers Bureau の CEO です。
著作権 © 2023 IDG コミュニケーションズ株式会社
次にこれを読んでください