リスク評価の概要と UI

このページの内容は ApigeeApigee ハイブリッドに該当します。

Apigee Edge のドキュメントはこちらをご覧ください。

概要

Advanced API Security のリスク評価では、API プロキシ構成を継続的に評価し、セキュリティ スコアを計算して、API の脆弱性を特定して対処します。

リスク評価は、次のような目的に役立ちます。

  • すべての API で一貫したセキュリティ基準を適用する。
  • API 設定の構成ミスを検出する。
  • 推奨される対応を実施し、全体的なセキュリティ スコアを改善する。
  • 一元化されたダッシュボードを使用して、セキュリティの問題を迅速に調査して解決する。

リスク評価には、このページで説明するように Apigee UI またはセキュリティ スコアとプロファイルの API からアクセスできます。

リスク評価のタスクを実施するために必要なロールについては、リスク評価に必要なロールをご覧ください。

この機能を使用するには、アドオンを有効にする必要があります。サブスクリプションをご利用の場合は、組織のアドオンを有効にできます。詳細については、サブスクリプションを使用する組織の Advanced API Security を管理するをご覧ください。従量課金制をご利用の場合は、対象となる環境でアドオンを有効にできます。詳細については、Advanced API Security アドオンを管理するをご覧ください。

リスク評価 v1 と v2

リスク評価には、一般提供リスク評価 v1 と、プレビュー版リスク評価 v2 の 2 つのバージョンがあります。どちらのバージョンを使用する場合も、Advanced API Security アドオンが必要です。

v1 と v2 の機能の主な違いは次のとおりです。

  • v2 の特徴は次のとおりです。
    • 信頼性が向上しています(最新のプロキシデータによるスコア計算の高速化など)。
    • 環境にセキュリティ プロファイルを事前に接続しなくてもスコアが計算されます。
    • 0~100% のスケールでスコアがシンプルに表示されます。
    • 重み付けのコンセプトを採用しています。v1 には重み付けのコンセプトがありません。セキュリティ診断と重み付けをご覧ください。
    • v1 の追加の評価。スコアの計算時により多くのポリシーをチェックします。たとえば、v1 では認可関連のポリシーを 5 つサポートしていますが、v2 では 8 つのポリシーをサポートします。また、v2 には、関連するポリシーを含むトラフィック管理カテゴリが含まれており、continueOnError 属性など、ポリシーで追加のチェックが実行されます。
    • ネストされた共有フローおよびフックが 5 レベルのネストまでチェックされます。v1 では、共有フローチェーンによって含まれるポリシーは評価されません。
    • ターゲット スコア(ターゲット サーバーのスコア)を、プロキシベースの評価と推奨事項に置き換えました。ターゲットがプロキシで使用されている場合、そのプロキシのセキュリティ スコアには、ターゲット サーバーのスコアも含まれます。
  • v2 は、以下のものをサポートしていません。
    • 不正なトラフィックに基づく送信元の評価。
    • カスタム プロファイル。現在、v2 は google-default プロファイルのみをサポートしています。
    • 現時点では、指標とモニタリングはサポートされていません。

リスク評価 v2

このセクションでは、リスク評価の新しいバージョンであるリスク評価 v2 について説明します。リスク評価のコンセプトと動作は v1 と v2 で異なります。リスク評価 v1 の使用方法については、リスク評価 v1 をご覧ください。

リスク評価 v2 を使用するには、セキュリティ スコアと重大度と、セキュリティ プロファイルという主要なコンセプトを理解する必要があります。

セキュリティ スコアと重大度

セキュリティ スコアは、環境に適用されたセキュリティ プロファイルのセキュリティ評価と重み付けの合格 / 不合格の結果に基づいて、API のセキュリティを評価します。スコアは 0~100% の値です。100% は、プロキシが評価に完全に準拠しており、評価に基づいてリスクが検出されなかったことを示します。

リスク評価 v2 では、セキュリティ スコアに基づく重大度値も提供されます。重大度の値は、高(0~50%)、中(51~90%)、低(91~99%)、最小(100% / 割り当てられたセキュリティ プロファイルの評価でリスクはない)です。

セキュリティ スコアは、API のセキュリティ ポスチャーを経時的に評価します。たとえば、スコアが変動する場合は、API の動作の頻繁な変化を示していることが考えられ、望ましい状態ではない可能性があります。スコアが低下する可能性のある環境の変化としては、次のものがあります。

  • 必要なセキュリティ ポリシーのない状態での API プロキシのデプロイ。
  • フローフックのデプロイと FlowCallout ポリシーの追加による共有フローの変更。
  • 環境またはプロキシのデプロイでのターゲット サーバーの変更。

ポリシーがプロキシのセキュリティ スコアに与える影響

プロキシ評価では、使用しているポリシーに基づいてセキュリティ スコアが出されます。これらのポリシーの評価方法は、ポリシーがフローに接続されているかどうか、またどのように接続されているかによって異なります。

  • フロー(プロキシ内の PreFlow、条件付きフロー、PostFlow、または共有フロー)に接続されているポリシーのみがスコアに影響します。どのフローにも接続されていないポリシーはスコアに影響しません。
  • FlowCallout ポリシーがフローに接続されている場合、プロキシがフローフックを介して呼び出す共有フローとプロキシ内の FlowCallout ポリシーがプロキシスコアにおいて考慮されます。FlowCallout がフローに接続されていない場合、リンクされた共有フローのポリシーはセキュリティ スコアに影響しません。
  • チェーンされた共有フローは、最大 5 レベルまで評価されます。プロキシに直接含まれるポリシーと、共有フローの最初の 5 つのレベルに含まれるポリシーが、セキュリティ スコアにカウントされます。
  • 条件付きフローに接続されている各ポリシーについては、ポリシーが存在するかどうかのみがセキュリティ スコアにおいて考慮されます。ポリシーが実行時に適用されるかどうか、またどのように適用されるかは考慮されません。

セキュリティ評価と重み付け

セキュリティ スコアは、ここに記載されている評価カテゴリに基づいています。

スコアは、各カテゴリの重み付けに基づいて算出されます。この重み付けはプロファイルごとに異なります。重み付けは、プロファイル内の各カテゴリに対して、「重大、「中程度」、「軽微」のいずれかで設定され、スコアに対するルールの影響を調整できます。評価が「重大」重み付けカテゴリで失敗した場合、「中程度」または「軽微」の重み付けよりも重大な悪影響があります。

評価カテゴリ 説明 重み 推奨事項
認可 認可ポリシーが設定されているかどうかを確認します。 重大 次のいずれかのポリシーをプロキシに追加します。
認可 認可ポリシーの continueOnError 属性が false に設定されているかどうかを確認します。これには、認可ポリシーが設定されているかどうかの確認も含まれます。 重大 使用中の認可ポリシーの continueOnError を false に設定します。
CORS AssignMessage ポリシーに CORS ポリシーまたは CORS ヘッダーが存在するかどうかを確認します。 重大 プロキシに CORS ポリシーを追加します。
メディエーション メディエーション ポリシーが設定されているかどうかを確認します。 重大 次のいずれかのポリシーをプロキシに追加します。
ターゲット 一方向または mTLS ポリシーが設定されているかどうかを確認します。 重大 ターゲット サーバーでセキュリティを構成します。
ターゲット 厳格な SSL 適用のため enforce が true に設定されているかどうかを確認します。これには、SSL ポリシーが設定されているかどうかの確認も含まれます。 重大 Apigee とターゲット間の厳格な SSL のため enforce フィールドを構成します。厳格な SSL 適用を構成するをご覧ください。
脅威 脅威対策ポリシーが設定されているかどうかを確認します。 重大 次のいずれかのポリシーをプロキシに追加します。
脅威 脅威ポリシーの continueOnError 属性が false に設定されているかどうかを確認します。これには、脅威ポリシーが設定されているかどうかの確認も含まれます。 重大 使用している脅威ポリシーの continueOnError を false に設定します。
トラフィック管理 トラフィック管理ポリシーが設定されているかどうかを確認します。 重大 次のいずれかのポリシーをプロキシに追加します。

セキュリティ プロファイル v2

セキュリティ プロファイルは、API のスコア付けを行う一連のセキュリティ評価と重み付けです。

デフォルトのセキュリティ プロファイル

Advanced API Security には、すべての評価を含むデフォルトのセキュリティ プロファイルが用意されています。デフォルトのプロファイルを使用する場合、セキュリティ スコアはすべてのカテゴリに基づきます。

セキュリティ スコア v2 に関する制限事項

セキュリティ スコアには次の制限事項があります。

  • セキュリティ スコアが生成されるのは、環境にプロキシがある場合のみです。
  • 新しくデプロイされたプロキシ、新しく有効にした組織と環境の場合、スコアはすぐに表示されません。
  • 現時点で使用できるセキュリティ プロファイルは google-default プロファイルのみです。カスタム セキュリティ プロファイルは現在サポートされていません。

データの遅延

Advanced API Security セキュリティ スコアのデータは、結果が利用可能になるまでに次の処理時間がかかります。

  • 組織で Advanced API Security を初めて有効にした場合、既存のプロキシとターゲットのスコアが環境に反映されるまでに時間がかかります。ガイドラインとして、サブスクリプション モデルの組織では 30~90 分、従量課金制の組織ではそれより短い時間がかかります。
  • 環境のプロキシ(デプロイとデプロイ解除)とターゲット(作成、更新、削除)に関連する新しいイベントが、環境のスコアに反映されるまでに最短で 60 秒、最長で 5 分(非常に大きな環境の場合)かかることがあります。

Apigee UI でリスク評価を表示する

リスク評価ページには、各環境での API のセキュリティを測定するスコアが表示されます。

リスク評価ページを開くには:

  1. Cloud コンソールで Apigee UI を開きます。
  2. [Advanced API Security] > [リスク評価] を選択します。

[リスク評価] ページが表示されます。

リスク評価のメインページ。

このページには次のセクションがあります。

  • 環境: 評価を表示する環境を選択します。
  • Security profile: 現在、使用可能なセキュリティ プロファイルgoogle-default のみです。
  • Deployed proxies by severity: 環境が設定されると、その環境のプロキシの重大度の概要が表示されます。セキュリティ スコアと重大度をご覧ください。
  • 評価の詳細: 選択した環境のセキュリティ プロファイル、評価の日時、評価された構成の合計数、デプロイされたプロキシの合計数が表示されます。評価された構成の合計数は、実行されたチェックの合計数を反映しています。この数がプロファイル内の評価の数よりも多い場合があります。一部の評価(continueOnError 属性が false に設定されていることを確認するなど)では、関連するポリシーが適用され、有効になっているかどうかも確認します。
  • Deployed proxies: 環境にデプロイされたプロキシとそのリスク評価スコアの概要。

    • プロキシ: プロキシの名前。
    • 重大度: プロキシのリスク評価の重大度。詳しくは、セキュリティ スコアと重大度をご覧ください。

    • スコア: プロキシのリスク評価スコア。詳しくは、セキュリティ スコアと重大度をご覧ください。
    • リビジョン: スコアが評価されたプロキシのリビジョン。
    • Failed assessments by weight: 評価の重み別にグループ化された失敗した評価の数。
    • 推奨事項: プロキシのスコアを改善するための具体的な推奨事項。数字をクリックすると、推奨事項が表示されます。

リスク評価 v1

このセクションでは、リスク評価 v1 について説明します。リスク評価 v2 については、リスク評価 v2 をご覧ください。

セキュリティ スコア

セキュリティ スコアは、API のセキュリティと、経時的なセキュリティ ポスチャーを評価します。たとえば、スコアが大きく変動する場合は、API の動作の頻繁な変化を示していることが考えられ、望ましい状態ではない可能性があります。スコアが低下する可能性のある環境の変化には、次のものがあります。

  • 必要なセキュリティ ポリシーのない状態で多数の API プロキシをデプロイする。
  • 悪意のあるソースからの不正なトラフィックが急増している。

セキュリティ スコアの経時的な変化を観察することは、環境内の望ましくないアクティビティや不審なアクティビティを特定できる良い指標となります。

セキュリティ スコアは、セキュリティ プロファイルに基づいて計算されます。セキュリティ プロファイルには、スコアで評価するセキュリティ カテゴリを指定します。Apigee のデフォルトのセキュリティ プロファイルを使用することも、最も重要なセキュリティ カテゴリのみを含むカスタム セキュリティ プロファイルを作成することもできます。

セキュリティ スコアの評価タイプ

Advanced API Security によって計算されるセキュリティ スコア全体に寄与する評価の種類は 3 つあります。

  • ソースの評価: Advanced API Security 検出ルールを使用して、検出された不正行為のトラフィックを評価します。「不正行為」とは、意図された以外の目的で API に送信されたリクエストを指します。

  • プロキシの評価: 次の分野でプロキシがさまざまなセキュリティ ポリシーをどの程度実装しているかを評価します。
    • メディエーション: 環境内のすべてのプロキシに、次のメディエーション ポリシーのいずれかが構成されていることを確認します: OASValidation または SOAPMessageValidation
    • セキュリティ

    詳細については、ポリシーがプロキシのセキュリティ スコアに与える影響をご覧ください。

  • ターゲット評価: 環境内のターゲット サーバーで Mutual Transport Layer Security(mTLS)が構成されているかどうかを確認します。

これらの各評価タイプには独自のスコアが割り当てられます。合計スコアは、個別の評価タイプに関するスコアの平均です。

ポリシーがプロキシのセキュリティ スコアに与える影響

プロキシ評価では、使用しているポリシーに基づいてセキュリティ スコアが出されます。これらのポリシーの評価方法は、ポリシーがフローに接続されているかどうか、またどのように接続されているかによって異なります。

  • フロー(プロキシ内の PreFlow、条件付きフロー、PostFlow、または共有フロー)に接続されているポリシーのみがスコアに影響します。どのフローにも接続されていないポリシーはスコアに影響しません。
  • FlowCallout ポリシーがフローに接続されている場合、プロキシがフローフックを介して呼び出す共有フローとプロキシ内の FlowCallout ポリシーがプロキシスコアにおいて考慮されます。FlowCallout がフローに接続されていない場合、リンクされた共有フローのポリシーはセキュリティ スコアに影響しません。
  • 共有フローチェーンはサポートされていません。共有フローチェーン経由で含まれるポリシーは、セキュリティ スコアの計算時に評価されません。
  • 条件付きフローに接続されている各ポリシーについては、ポリシーが存在するかどうかのみがセキュリティ スコアにおいて考慮されます。ポリシーが実行時に適用されるかどうか、またどのように適用されるかは考慮されません。

セキュリティ プロファイル

セキュリティ プロファイルは、API のスコア付けを行う一連のセキュリティ カテゴリです(以下で説明)。プロファイルには、セキュリティ カテゴリの任意のサブセットを含めることができます。環境のセキュリティ スコアを表示するには、まず環境にセキュリティ プロファイルを接続する必要があります。Apigee のデフォルトのセキュリティ プロファイルを使用することも、重要度の高いセキュリティ カテゴリのみを含むカスタム セキュリティ プロファイルを作成することもできます。

デフォルトのセキュリティ プロファイル

Advanced API Security には、すべてのセキュリティ カテゴリを含むデフォルトのセキュリティ プロファイルが用意されています。デフォルトのプロファイルを使用する場合、セキュリティ スコアはすべてのカテゴリに基づきます。

カスタム セキュリティ プロファイル

カスタム セキュリティ プロファイルを使用すると、特定のセキュリティ カテゴリのみに基づいてセキュリティ スコアが算出されます。カスタム プロファイルの作成方法については、セキュリティ プロファイルの作成と編集をご覧ください。

セキュリティのカテゴリ

セキュリティ スコアは、以下で説明するセキュリティ カテゴリの評価に基づいています。

カテゴリ 説明 推奨事項
不正行為 大量のリクエスト、データ スクレイピング、承認に関連する不正使用など、意図された以外の目的で API に送信されたリクエストなど、不正行為がないかを確認します。 不正行為に関する推奨事項をご覧ください。
認可 認可ポリシーが設定されているかどうかを確認します。 次のいずれかのポリシーをプロキシに追加します。
CORS CORS ポリシーが設定されているかどうかを確認します。 プロキシに CORS ポリシーを追加します。
MTLS ターゲット サーバーに mTLS(Mutual Transport Layer Security)が構成されているかどうかを確認します。 ターゲット サーバーの mTLS 構成をご覧ください。
メディエーション メディエーション ポリシーが設定されているかどうかを確認します。 次のいずれかのポリシーをプロキシに追加します。
脅威 脅威対策ポリシーが設定されているかどうかを確認します。 次のいずれかのポリシーをプロキシに追加します。

セキュリティ スコア v1 に関する制限事項

セキュリティ スコアには次の制限事項があります。

  • カスタム プロファイルは 1 組織あたり 100 個まで作成できます。
  • セキュリティ スコアが生成されるのは、環境にプロキシ、ターゲット サーバー、トラフィックがある場合のみです。
  • 新しくデプロイされたプロキシのスコアは、すぐには表示されません。

データの遅延

Advanced API Security セキュリティ スコアのデータでは、データの処理方法により、次の遅延に基づきます。

  • 組織で Advanced API Security を有効にした場合、既存のプロキシとターゲットのスコアが環境に反映されるまでに最長で 6 時間かかる可能性があります。
  • 環境のプロキシ(デプロイとデプロイ解除)とターゲット(作成、更新、削除)に関連する新しいイベントが、環境のスコアに反映されるまでに最長で 6 時間かかる場合があります。
  • Apigee Analytics パイプラインへのデータフローには、平均で 15~20 分の遅延があります。その結果、ソーススコアの不正使用データの処理には、15~20 分程度の遅延が発生します。

リスク評価ページを開く

リスク評価ページには、各環境での API のセキュリティを測定するスコアが表示されます。

注: リスク評価ページの読み込みに数分かかることがあります。トラフィック量が多く、プロキシとターゲットが多数存在する環境では、ページの読み込みに時間を要します。

Cloud コンソールの Apigee

リスク評価ページを開くには:

  1. Cloud コンソールで Apigee UI を開きます。
  2. [Advanced API Security] > [リスク評価] を選択します。

[リスク評価] ページが表示されます。

リスク評価のメインページ。

このページには 2 つのタブがあります。各タブについては、次のセクションで説明します。

セキュリティ スコアを表示する

セキュリティ スコアを表示するには、[セキュリティ スコア] タブをクリックします。

セキュリティ プロファイルを環境に適用するで説明されているように、セキュリティ プロファイルを適用するまで環境内のスコアは計算されないことに注意してください。Apigee にはデフォルトのセキュリティ ポリシーが用意されています。また、セキュリティ プロファイルの作成と編集で説明されているように、カスタム プロファイルを作成することもできます。

[セキュリティ スコア] テーブルには次の列が表示されます。

  • 環境: スコアが計算される環境。
  • [リスクレベル]: 環境のリスクレベル(低、中、高)。
  • [セキュリティ スコア]: 環境の合計スコア(最大 1,200)。
  • [Total recommendations]: 提供される推奨事項の数。
  • [Profile]: 接続されているセキュリティ プロファイルの名前。
  • 最終更新日時: セキュリティ スコアが最後に更新された日付です。
  • 操作: 環境の行のその他メニューをクリックして、次の操作を実行します。
    • プロファイルの添付: 環境にセキュリティ プロファイルを適用します。
    • Detach profile: 環境からセキュリティ プロファイルを削除します。

セキュリティ プロファイルを環境に接続する

環境のセキュリティ スコアを表示するには、まず次のようにセキュリティ プロファイルを環境に接続する必要があります。

  1. [アクション] で、環境の行にあるその他メニューをクリックします。
  2. [プロファイルの添付] をクリックします。
  3. [プロファイルの添付] ダイアログで、次の操作を行います。
    1. [プロファイル] フィールドをクリックして、接続するプロファイルを選択します。カスタム セキュリティ プロファイルを作成していない場合、使用できるプロファイルは デフォルト のみです。
    2. [割り当て] をクリックします。

環境にセキュリティ プロファイルを接続すると、Advanced API Security はすぐにその評価と採点を開始します。スコアが表示されるまでに数分かかることがあります。

合計スコアは、次の 3 つの評価タイプの個々のスコアから計算されます。

  • ソースの評価
  • プロキシの評価
  • ターゲットの評価

すべてのスコアが 200~1,200 の範囲にあることに注意してください。評価スコアが高いほど、セキュリティ リスクが低くなります。

スコアの確認

セキュリティ プロファイルを環境に接続すると、環境内のスコアと推奨事項を表示できます。これを行うには、メインの [セキュリティ スコア] ページで環境の行をクリックします。これにより、以下に示すように環境のスコアが表示されます。

環境内のセキュリティ スコア。

ビューには 4 つのタブが表示されます。

概要

[Overview] タブには、次のように表示されます。

  • 各評価の上位のハイライト:
    • プロキシ: 環境内のプロキシの上位の推奨事項を表示します。[Edit Proxy] をクリックして Apigee プロキシ エディタを開きます。ここで推奨事項を実装できます。
    • ターゲット: 環境内のターゲットに関する上位の推奨事項が表示されます。Apigee UI の [Management] > [Environments] ページで [View Target Servers] をクリックして、[Target Servers] タブを開きます。
    • ソース: 検出された不正行為のトラフィックが表示されます。[Detected Traffic] をクリックすると、[Abuse Detection] ページに [Detected traffic] タブが表示されます。
  • [Source Assessment]、[Proxy Assessment]、[Target Assessment] のサマリー(以下を含む)。
    • 評価タイプごとの最新のスコア。
    • [ソース評価] ペインに、検出された不正行為のトラフィックと IP アドレスの数が表示されます。
    • [Proxy Assessment] ペインと [Target Assessment] ペインには、これらの評価のリスクレベルが表示されます。
  • いずれかのサマリーペインで [View Assessment Details] をクリックすると、その評価タイプの詳細が表示されます。
  • [Assessment history]。最近の期間における環境の 1 日の合計スコアのグラフが表示され、3 日または 7 日間から選択できます。デフォルトでは、グラフに 3 日間が表示されます。グラフには、同じ期間の合計スコアの平均も表示されます。

スコアは、評価対象がある場合にのみ評価タイプについて計算されます。たとえば、ターゲット サーバーがない場合、[Targets] のスコアは報告されません。

ソースの評価

[Source Assessment] タブをクリックすると、環境の評価の詳細が表示されます。

[Source Assessment] ペイン。

[Assessment details] の右側にある展開アイコンをクリックすると、最近の期間におけるソースの評価のグラフが表示されます(3 日または 7 日間のいずれかを選択できます)。

[Source] ペインに、次の情報を含むテーブルが表示されます。

  • [Category]: 評価のカテゴリ
  • [Risk level]: カテゴリのリスクレベル。
  • [Security score]: 不正行為カテゴリのセキュリティ スコア。
  • [Recommendations]: カテゴリの推奨事項の数。
ソースの詳細

[Source details] ペインには、環境で検出された不正行為のトラフィックの詳細が次のように表示されます。

  • [Traffic details]:
    • [Detected traffic]: 不正行為の原因として検出された IP アドレスから発生した API 呼び出しの数。
    • [Total traffic]: API 呼び出しの合計数。
    • [Detected IP address count]: 不正行為の原因として検出された個別の IP アドレスの数。
    • [Observation start time (UTC)]: トラフィックがモニタリングされた期間の開始時刻(UTC)。
    • Observation end time (UTC): トラフィックがモニタリングされた期間の終了時間(UTC)。
  • Assessment date: 評価が行われた日時。
  • スコアを改善するための推奨事項。不正なトラフィックの処理に関するその他の推奨事項については、不正行為に関する推奨事項をご覧ください。

ソースの評価で表示された問題に対処するセキュリティ アクションを作成するには、[Create Security Action] ボタンをクリックします。

プロキシの評価

API プロキシ評価は、環境内のすべてのプロキシのスコアを計算します。プロキシ評価を表示するには、[Proxy Assessment] タブをクリックします。

[Proxy Assessment] ペイン。

[Proxy] ペインに、次の情報を含むテーブルが表示されます。

  • [Proxy]: 評価されるプロキシ。
  • [Risk level]: プロキシのリスクレベル。
  • [Security score]: プロキシのセキュリティ スコア。
  • [Needs attention]: プロキシのスコアを改善するために対処する必要がある評価カテゴリ。
  • [Recommendations]: プロキシの推奨事項の数。

テーブル内のプロキシの名前をクリックして [プロキシ エディタ] を開きます。ここで、プロキシに対して推奨される変更を行うことができます。

プロキシに関する推奨事項

プロキシのスコアが低い場合、[Recommendations] ペインでプロキシの改善に関する推奨事項を表示できます。プロキシに関する推奨事項を表示するには、[Proxy] ペインでプロキシの [Needs attention] 列をクリックします。

[Recommendations] ペインが表示されます。

  • Assessment date: 評価が行われた日時。
  • スコアを改善するための推奨事項。

ターゲットの評価

ターゲットの評価では、環境内のターゲット サーバーごとに相互トランスポート層セキュリティ(mTLS)スコアが計算されます。ターゲット スコアは次のように割り当てられます。

  • TLS なしの数: 200
  • 一方向 TLS あり: 900
  • 双方向または mTLS の数: 1,200

ターゲット評価を表示するには、[Target Assessment] タブをクリックします。

[Target Assessment] ペイン。

[Target] ペインには、次の情報が表示されます。

  • [Target]: ターゲットの名前。
  • [Risk level]: ターゲットのリスクレベル。
  • [Security score]: ターゲットのセキュリティ スコア。
  • [Needs attention]: ターゲットのスコアを改善するために対処する必要がある評価カテゴリ。
  • [Recommendations]: ターゲットの推奨事項の数。

テーブル内のターゲットの名前をクリックして、Apigee UI の [Management] > [Environments] ページで [Target Servers] タブを開きます。ターゲットに推奨アクションを適用できます。

ターゲットに関する推奨事項

ターゲット サーバーのスコアが低い場合、[Recommendations] ペインで推奨事項を改善するための推奨事項を表示できます。ターゲットに関する推奨事項を表示するには、[Target] ペインでターゲットの [Needs attention] 列をクリックします。

[Recommendations] ペインが表示されます。

  • Assessment date: 評価が行われた日時。
  • スコアを改善するための推奨事項。

セキュリティ プロファイルの作成と編集

セキュリティ プロファイルを作成または編集するには、[セキュリティ プロファイル] タブを選択します。

[セキュリティ プロファイル] タブ。

[セキュリティ プロファイル] タブには、次の情報を含むセキュリティ プロファイルのリストが表示されます。

  • 名前: プロファイルの名前。
  • カテゴリ: プロファイルに含まれるセキュリティ カテゴリ。
  • 説明: プロファイルの説明(省略可)。
  • 環境: プロファイルが接続されている環境。この列が空の場合、プロファイルはどの環境にも適用されていません。
  • 最終更新日時(UTC): プロファイルが最後に更新された日時。
  • 操作: 次の項目を含むメニュー。
    • 編集: プロファイルを編集します。
    • 削除: プロファイルを削除します。

セキュリティ プロファイルの詳細を表示する

セキュリティ プロファイルの詳細を表示するには、プロファイルの行にあるその名前をクリックします。これにより、次のようにプロファイルの詳細が表示されます。

セキュリティ プロファイルの詳細

[詳細] タブの最初の行には、[リビジョン ID](プロファイルの最新リビジョン番号)が表示されます。プロファイルを編集してセキュリティ カテゴリを変更すると、リビジョン ID が 1 上がります。ただし、プロファイルの説明を変更するだけではリビジョン ID は増加しません。

その下の行には、[セキュリティ プロファイル] タブのプロファイルの行と同じ情報が表示されます。

プロファイルの詳細ビューには、ラベルが設定された 2 つのボタン([編集] と [削除])があります。これは、セキュリティ プロファイルを編集または削除する目的で使用します。

履歴

プロファイルの履歴を表示するには、[履歴] タブをクリックします。プロファイルのすべてのリビジョンのリストが表示されます。リビジョンごとに、次の情報が表示されます。

  • リビジョン ID: リビジョン番号。
  • カテゴリ: プロファイルのそのリビジョンに含まれるセキュリティ カテゴリ。
  • 最終更新日(UTC): リビジョンが作成された日時(UTC)。

カスタム セキュリティ プロファイルを作成する

新しいカスタム セキュリティ プロファイルを作成するには:

  1. ページの上部にある [作成] をクリックします。
  2. 表示されたダイアログで、次のように入力します。
    • 名前: プロファイルの名前。名前は 1~63 文字にし、英小文字、数字、ハイフンで構成します。先頭は英字、末尾は英字または数字にします。既存のプロファイルの名前は使用できません。
    • (省略可)説明: プロファイルの説明。
    • [カテゴリ] フィールドで、プロファイルに含める評価カテゴリを選択します。

カスタム セキュリティ プロファイルを編集する

カスタム セキュリティ プロファイルを編集するには:

  1. セキュリティ プロファイルの行の最後にある [操作] メニューをクリックします。
  2. [編集] を選択します。
  3. [セキュリティ プロファイルの編集] ページで、次の設定を変更できます。
    • 説明: セキュリティ プロファイルの説明(省略可)。
    • カテゴリ: プロファイルに選択されたセキュリティ カテゴリ。プルダウン メニューをクリックし、メニューからカテゴリを選択または選択解除してカテゴリを変更します。
  4. [OK] をクリックします。

カスタム セキュリティ プロファイルを削除する

セキュリティ プロファイルを削除するには、プロファイルの行の最後にある [操作] をクリックし、[削除] を選択します。プロファイルを削除すると、そのプロファイルはすべての環境から削除されます。

従来の Apigee UI

セキュリティ スコア ビューを開くには、次のようにします。

  1. 従来の Apigee UI を開きます。
  2. [Analyze] > [API Security] > [Security scores] を選択します。

これにより、[セキュリティ スコア] ビューが表示されます。

[Security scores] メインビュー。

セキュリティ プロファイルを環境に適用するまで、環境内のスコアは計算されないことに注意してください。Apigee にはデフォルトのセキュリティ ポリシーが用意されています。また、Apigee API を使用してカスタム プロファイルを作成することもできます。詳細については、カスタム セキュリティ プロファイルを使用するをご覧ください。

上の図では、integration 環境にセキュリティ プロファイルが接続されていないため、[Profile Name] 列にはその環境で「Not set」と表示されます。

[セキュリティ スコア] テーブルには次の列が表示されます。

  • 環境: スコアが計算される環境。
  • 最新のスコア: 環境の最新の合計スコア(最大 1,200)。
  • リスクレベル: 低、中、高のリスクレベル。
  • [Total Recommendations]: 提供される推奨事項の数。各推奨事項は、[Needs Attention] テーブルの行に対応します。
  • [プロファイル名]: セキュリティ プロファイルの名前。
  • 評価日: セキュリティ スコアが計算された最新の日付。

セキュリティ プロファイルを環境に接続する

環境のセキュリティ スコアを表示するには、まず次のようにセキュリティ プロファイルを環境に接続する必要があります。

  1. [アクション] で、環境の行にあるその他メニューをクリックします。
  2. [プロファイルの添付] をクリックします。
  3. [プロファイルの添付] ダイアログで、次の操作を行います。
    1. [プロファイル] フィールドをクリックして、接続するプロファイルを選択します。カスタム セキュリティ プロファイルを作成していない場合、使用できるプロファイルは デフォルト のみです。
    2. [割り当て] をクリックします。

環境にセキュリティ プロファイルを接続すると、Advanced API Security はすぐにその評価とスコア付けを開始します。スコアが表示されるまでに数分かかることがあります。

以下の画像は、デフォルトのセキュリティ プロファイルが接続されている環境の [セキュリティ スコア] ビューを示しています。

セキュリティ プロファイルが接続された [Security Scores] のメイン ウィンドウ。

環境の行には、最新のセキュリティ スコア、リスクレベル、実行するセキュリティ アクションの推奨事項の数、スコアの評価日が表示されます。

合計スコアは、次の 3 つの評価タイプの個々のスコアから計算されます。

  • ソースの評価
  • プロキシの評価
  • ターゲットの評価

すべてのスコアが 200~1,200 の範囲にあることに注意してください。スコアが高いほど、セキュリティ評価が良くなります。

スコアの確認

セキュリティ プロファイルを環境に接続すると、環境内のスコアと推奨事項を表示できます。これを行うには、メインの [Security scores] ビューで環境の行をクリックします。これにより、以下に示すように環境のスコアが表示されます。

環境内のセキュリティ スコア。

ビューには次のように表示されます。

  • [Sources]、[Proxies]、[Targets] の最新のスコア。いずれかのペインで [View Assessment Details] をクリックすると、そのタイプの評価が表示されます。
  • [Environment Score History]。環境における過去 5 日間の日次合計スコアと、同じ期間の平均の総スコアのグラフが表示されます。
  • [Needs Attention] テーブル。セキュリティを改善できる API の評価タイプが一覧表示されます。

スコアは、評価対象がある場合にのみ評価タイプについて計算されます。たとえば、ターゲット サーバーがない場合、[Targets] のスコアは報告されません。

以下のセクションで、タイプごとに評価を表示する方法を説明します。

要注意表

上記の [Needs Attention] テーブルには、スコアが 1,200 未満の API カテゴリと次の項目が一覧表示されます。

  • カテゴリの最新スコア
  • カテゴリのリスクレベル(低、中、高)。
  • 評価日
  • 評価タイプ

推奨事項の表示

テーブル内の各行について、Advanced API Security はスコア向上に関する推奨事項を提供します。[Assessment details] ビューで、以下のセクションで説明する [Sources]、[Proxies]、または [Targets] の各タイプの推奨事項について確認できます。

[Assessment details] ビューは、次のいずれかの方法で開くことができます。

  • メインの [セキュリティ スコア] ビューのいずれかのペインで [View Assessment Details] をクリックします。
  • [Needs Attention] テーブルで次の操作を行います。
    1. テーブル内のカテゴリ グループを開きます。

      [Needs Attention] テーブルの [Auth] 行。

    2. 推奨事項を表示するカテゴリをクリックします。これにより、推奨事項に対応する [評価の詳細] ビューが開きます。

ソースの評価

ソースの評価では、環境の不正行為スコアが計算されます。「不正行為」とは、意図された以外の目的で API に送信されたリクエストを指します。

ソース評価を表示するには、[ソース] ペインで [ビュー] をクリックして、[API ソース評価] ビューを開きます。

[Source Assessment] ペイン。

[Source Score History] には、過去 5 日間のスコアと、平均値および最新のスコアが表示されます。[評価の詳細] テーブルには、評価のカテゴリに関する最新の個別スコアが表示されます。

ソースに関する推奨事項

カテゴリのスコアが低い場合、カテゴリの改善に関する推奨事項を表示できます。不正行為 カテゴリの推奨事項を表示するには、[評価の詳細] テーブルの行をクリックします。これにより、[推奨事項] ペインに推奨事項が表示されます。

[推奨事項] ペインの不正使用に関する推奨事項。

不正行為の詳細をドリルダウンするには、[詳細を表示] をクリックします。これにより、[不正行為の検出] ページの [検出されたトラフィック] ビューが開きます。[検出されたトラフィック] ビューには、検出された不正行為に関する詳細情報が表示されます。

[View Details] の下に、[推奨事項:] ペインが表示されます。

  • 推奨事項: 「Block or allow traffic identified by abuse detection」が表示されます。
  • [操作] 行には、不正行為に関する推奨事項についてのドキュメントへのリンクが表示されます。

プロキシの評価

API プロキシ評価は、環境内のすべてのプロキシのスコアを計算します。プロキシ評価を表示するには、[プロキシ] ペインで [ビュー] をクリックして [API プロキシ評価] ビューを開きます。

[Proxy Assessment] ペイン。

[Proxy Score History] には、過去 5 日間のスコアと、平均値および最新のスコアが表示されます。[評価の詳細] テーブルには、評価のカテゴリに関する最新の個別スコアが表示されます。

プロキシに関する推奨事項

プロキシのスコアが低い場合、コンポーネントの改善に関する推奨事項を表示できます。たとえば、hellooauth2 プロキシの推奨事項を表示するには、[Assessment details] テーブルで行をクリックします。これにより、[推奨事項] ペインに推奨事項が表示されます。それらのうちの 2 つを以下に示します。

プロキシに関する推奨事項。

ターゲットの評価

ターゲットの評価では、環境内の各ターゲット サーバーの mTLS スコアが計算されます。ターゲット スコアは次のように割り当てられます。

  • TLS なしの数: 200
  • 一方向 TLS あり: 900
  • 双方向または mTLS の数: 1,200

ターゲット評価を表示するには、[ターゲット] ペインで [ビュー] をクリックして、[API ターゲット評価] ビューを開きます。

[Target Assessment] ペイン。

[Target Score History] には、過去 5 日間のスコアと、平均値および最新のスコアが表示されます。[評価の詳細] テーブルには、評価のカテゴリに関する最新の個別スコアが表示されます。

ターゲットに関する推奨事項

ターゲット サーバーのスコアが低い場合、それを改善するための推奨事項を表示できます。ターゲット サーバーの評価を表示するには、その行をクリックします。これにより、[推奨事項] ペインに推奨事項が表示されます。

プロキシに関する推奨事項。

不正行為の推奨事項

ソーススコアが低い場合は、不正行為が検出された IP を確認することをおすすめします。これらの IP からのトラフィックが不正であると思われる場合は、セキュリティ アクション ページを使用して、不正なトラフィックの発生元である IP アドレスからのリクエストをブロックします。

この不正行為の詳細については、次のいずれかのリソースで確認してください。