API 管理

Apigee を使用したアプリケーションと API の保護のベストプラクティス

2021年10月26日

https://storage.googleapis.com/gweb-cloudblog-publish/images/api.max-2000x2000.jpg

Google Cloud Japan Team

Google Cloud を試す

$300 分の無料クレジットと 20 以上の無料プロダクトがある Google Cloud で構築を始めよう

※この投稿は米国時間 2021 年 10 月 19 日に、Google Cloud blog に投稿されたものの抄訳です。

世界中の企業で、お客様、従業員、パートナーからのデジタルエクスペリエンスに対する需要が急増しています。このような企業の多くでは、何百というビジネスアプリケーションがプライベートクラウドやパブリッククラウドでホストされていて、地域、チャネル（ウェブ、モバイル、API、VPN、クラウドサービス）、タイムゾーンを越えてユーザー（お客様、パートナー、従業員）とやり取りしています。

このような需要の高まりを受けて、企業はサイバー攻撃に対する技術インフラストラクチャの強化を迫られています。米国連邦捜査局によると、2020 年に報告された米国企業へのサイバー攻撃の件数は、前年比 69% 増となりました。ウェブや API への攻撃を防ぐことはできませんが、軽減することはできます。最近の調査によると、組織の 55% が少なくとも毎月 DDoS 攻撃を受けているとのことです。

多くの企業がオムニチャネルエクスペリエンスを構築するためにデジタルトランスフォーメーションを加速させていますが、すべてのチャネルにおいてセキュリティとプライバシーを最重要事項として捉える必要があります。この目標を達成するには、企業が新しい脅威に対してほぼリアルタイムで防止、検出、対応できるようにする堅牢なセキュリティアーキテクチャと、組織的なポリシーの適用モデルを実装することが何よりも求められます。言うのは簡単ですが、このようなシステムの実装は非常に困難です。

アプリケーションと API を保護するためのベストプラクティス

組織がこのような課題に対処できるように、Google は最近、「Apigee を使用したアプリケーションと API の保護のベストプラクティス」を公開しました。この中で、Apigee API 管理、Google Cloud Armor 、reCAPTCHA Enterprise 、Cloud CDN を使用して、アプリケーションや API を保護するためのベストプラクティスやアプローチについて説明しています。

このようなベストプラクティスには、バックエンド API を保護するためのプロキシレイヤとしての Apigee、ウェブアプリケーションファイアウォール（WAF）としての Google Cloud Armor、キャッシュ保存のための Cloud CDN の使用と、Google Cloud のソリューションによる包括的なウェブアプリと API の保護が含まれます。

Apigee をプロキシレイヤとして使用する

このパターンでは、Apigee は、すぐに利用可能な機能を使用してバックエンド API を安全に保護できるファサードレイヤになります。

https://storage.googleapis.com/gweb-cloudblog-publish/images/2_Google_Cloud_Armor_as_a_WAF_layer.max-1800x1800.jpg

Apigee は、すべての API に一貫して適用できる豊富なセキュリティ機能を提供します。この機能は、リクエストを異なるバックエンドにルーティングするために使用することができ、移行作業にも役立ちます。

Apigee と併用し Google Cloud Armor を WAF レイヤとして使用する

セキュリティフットプリントを増やすために、簡単に Google Cloud Armor を有効にし、Apigee と併用できます。Google Cloud Armor は、ウェブアプリケーションファイアウォール（WAF）機能を提供し、分散型サービス拒否攻撃（DDoS）の防止に役立ちます。また、OWASP トップ 10 に記載されているリスクによるアプリケーションへの脅威を軽減します。Google Cloud Armor でルールを構成する方法の詳細については、Google Cloud Armor の入門ガイドを参照していただくか、Apigee と Google Cloud Armor に関するブログ投稿をご覧ください。

https://storage.googleapis.com/gweb-cloudblog-publish/images/4_Web_App_and_API_Protection.max-1700x1700.jpg

キャッシュ保存に Cloud CDN を使用

Cloud CDN（コンテンツ配信ネットワーク）を使用することで、Google のグローバルネットワークを利用してユーザーにより近い場所でコンテンツを提供し、ウェブサイトやアプリケーションのレスポンス時間を短縮できます。また、Cloud CDN はキャッシュ機能を備えていて、非常に速いレスポンスを提供します。キャッシュからレスポンスを返し、トラフィックの急増に対応することで、バックエンドの保護に役立ちます。また、ウェブサーバーの負荷、コンピューティング、ネットワーク使用量を最小限に抑えるのにも役立ちます。このアーキテクチャを実装するには、Apigee のトラフィックを処理するロードバランサで Cloud CDN を有効にする必要があります。詳細については、こちらのブログ投稿をご覧ください。

https://storage.googleapis.com/gweb-cloudblog-publish/images/3_Use_Cloud_CDN_for_caching.max-1800x1800.jpg

包括的なウェブアプリと API の保護（WAAP）

セキュリティプロファイルをさらに強化するために、WAAP を使用することもできます。WAAP は、Google Cloud Armor、reCAPTCHA Enterprise、Apigee を統合して、DDoS 攻撃と bot からシステムを保護します。また、ウェブアプリケーションファイアウォール（WAF）や API の保護も提供しています。

ウェブサイトやモバイルアプリケーションから API 呼び出しを行う企業でのユースケースには WAAP を推奨します。reCAPTCHA ライブラリを読み込み、reCAPTCHA トークンを生成してリクエスト作成時に一緒に送信するよう、アプリケーションを設定できます。WAAP の詳細については、こちらのブログ投稿をご確認いただくかこちらのホワイトペーパーをご覧ください。

https://storage.googleapis.com/gweb-cloudblog-publish/images/1_Use_Apigee_as_a_proxy_layer.max-1800x1800.jpg

次のステップ

デジタルトランスフォーメーションを加速させる組織が増えるにつれて、システムやビジネスチャネルでデジタルでのやり取りへの依存度が高まり、高度なセキュリティと保護の必要性もますます増大しています。脅威からの保護と可視性を向上させながら、迅速かつ効率的にサービスを提供できるよう組織をサポートするアーキテクチャを構築することが最も重要です。