API 管理

Apigee と Google Cloud Armor による多層 API セキュリティ

2021年3月29日

https://storage.googleapis.com/gweb-cloudblog-publish/images/api.max-2000x2000.jpg

Google Cloud Japan Team

※この投稿は米国時間 2021 年 3 月 16 日に、Google Cloud blog に投稿されたものの抄訳です。

情報セキュリティに関するトピックは、毎日のように大きなニュースになっています。大小のスキームで使用される悪意ある bot や、有名な大企業とその顧客を巻き込み、最終的に多数の政府機関、民間組織、人に影響を与える全面的な「ソフトウェアサプライチェーン攻撃」など、さまざまなセキュリティリスクについて、おそらく耳にされたことがあるはずです。

企業がオンラインチャネルで顧客にサービスを提供したり、場所を問わず世界中のリモートワーカーと業務を行ったりする目的でデジタルプログラムを拡張するのに伴い、このようなセキュリティ攻撃がより一般的になると予想されています。アプリケーションプログラミングインターフェース（API）は、さまざまなアプリケーションやサービスの原動力となるデータや機能をつなぐ、企業のデジタルプログラムの基本コンポーネントであるため、悪意のある攻撃の媒介となりますが、企業が攻撃パターンとその阻止方法の理解を深めるために使用できる分析情報源にもなります。Google Cloud の State of the API Economy 2021 レポートによると、不正なトラフィックは 172% 増加し、企業における異常検出、bot 防止、セキュリティ分析機能の使用量は 230% 増加しています。

アジャイル、スマート、プロアクティブなデジタルセキュリティメカニズムに関わる費用がビジネス運営において避けられないものとなったことに伴い、API セキュリティは企業の IT セキュリティポートフォリオの不可欠な部分になっています。こちらの記事で紹介しているように、最近リリースされた Apigee X により、API セキュリティをさらに強化できます。

Apigee と Google Cloud Armor による多層 API セキュリティ

API はさまざまなデジタルアセットへの扉になります。それぞれの扉には、その背後にあるものを不正アクセスから保護して安全な状態に保つために、鍵をかける必要があります。そのため、組織が API セキュリティを最高レベルにまで高められるよう、Google Cloud は Apigee と Cloud Armor を統合し、業界トップクラスの API 管理テクノロジーとウェブアプリケーションファイアウォールテクノロジーを融合しています。お客様は、Google Cloud のライフサイクル全体の API 管理プラットフォームの最新リリースである Apigee X により、簡単かつシームレスに Cloud Armor ウェブアプリケーションファイアウォール（WAF）を API に適用し、セキュリティを強化して、承認されたユーザーだけが自社のデジタルアセットにアクセスできるようにすることができます。

気象データや天気予報のグローバルリーダーである AccuWeather にとって、新しいアプリケーションを構築するうえでも、外部デベロッパーが AccuWeather のアセットでイノベーションを実現できるように、同コミュニティ向けのデータや機能を収益化するうえでも、API は不可欠なものになっています。AccuWeather は、同社の API の用途がこのように新たに拡大したため、同社のデジタルアセットを管理、保護するための堅牢なセキュリティを必要としていました。

AccuWeather 最高技術責任者 Chris Patti 氏は次のように述べています。「過去 10 年にわたり、AccuWeather は、API を使用して最も正確で役立つ気象情報を企業のお客様に提供するためのデジタルソリューションを変革し続けています。Apigee の戦略的パートナーシップと包括的な API 管理プラットフォームのおかげで、数週間という短期間で業界トップクラスの API を設計、開発、リリースできました。今では、1 日あたり 500 億回の API 呼び出しに対応しています。多くの組織では、独自のデジタルソリューションを利用しているため、変革を推進するために API ファーストの戦略を採用することが増えています。新しい Apigee X のリリースに加えて、グローバルなスケーリング、パフォーマンス、セキュリティに対応できる、reCAPTCHA、Cloud Armor、コンテンツ配信ネットワーク（CDN）といった Google の優れた機能によって、当社は今後、API プログラムをさらに強化できると考えています。」

Apigee と Cloud Armor を組み合わせることにより、複数のレベルで API を保護できます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/high-level_solution_architecture.max-1800x1800.jpg

クリックして拡大

Apigee X には、OAuth（Open Authorization）、API キー、ロールベースのアクセス、その他多くの API レベルのセキュリティ機能が含まれており、Cloud Armor は、DDoS（分散型サービス拒否攻撃）保護、ジオフェンシング、OWASP（Open Web Application Security Project）トップ 10 リスクの軽減、カスタムレイヤ 7 フィルタリングなど、ネットワークとアプリケーションのセキュリティを提供します。Apigee X と Cloud Armor により、デベロッパーは統合されたセキュリティ機能をすぐに利用して、複数のレベルで API を保護できます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/Apigee__CA_Comparision.max-900x900.jpg

クリックして拡大

お客様は、Cloud Identity and Access Management（IAM）を簡単に活用して、Apigee プラットフォームへのアクセスの認証と承認を行ったり、顧客管理の暗号鍵（CMEK）で暗号化データをより細かく管理したりすることもできます。

Apigee X と Cloud Armor は、脅威や不正行為からアプリケーションと API を保護するための強力な機能を提供します。これらのプロダクトは、ウェブアプリと API の保護（WAAP）ソリューションの一部としても利用可能です。このソリューションでは、reCAPTCHA Enterprise のアンチ bot 対策と不正防止対策を追加で利用できます。

攻撃者と新たな脆弱性が絶えず出現しているため、セキュリティは変化しますが、API セキュリティに対する多層的アプローチにより、企業は安心して、セキュリティ面で妥協することなく、新しいデジタルサービスや新しいエクスペリエンスに API を迅速に活用できます。Apigee X の詳細について、また Apigee と Cloud Armor の活用例については、次の動画をご覧ください。