Google Cloud 環境向けのシャドー API 検出のご紹介

※この投稿は米国時間 2024 年 4 月 11 日に、Google Cloud blog に投稿されたものの抄訳です。

企業は平均 200 を超える多数の API を運用しており、その数は増え続けています。いずれの API も機密データのフロントドアとなる可能性があります。もっと対応が困難なのは、こうした API の中でどれがアクティブに管理されていない「シャドー API」なのかを特定することです。シャドー API は良かれと思ってなされた開発イニシアチブとレガシー システムから生まれ、適切な監視やガバナンスなしで動作し、有害なセキュリティ インシデントを引き起こす可能性があります。

このたび開催される Google Cloud Next では、Apigee API Management ソリューションに含まれる Advanced API Security のシャドー API 検出機能（プレビュー版）を発表いたします。

Apigee API Management で API を保護する

Apigee は、クラウドとオンプレミスで API を構築、管理、保護できる Google Cloud のターンキー API 管理ソリューションです。Apigee は、きめ細かい制御に加え、認証や認可などの 50 種類を超える組み込みのセキュリティ ポリシーにより、API トランザクションの信頼性を確保できます。

Advanced API Security は、API の構成ミスを特定し、悪意のある bot 攻撃やビジネス ロジック攻撃を検出するために先を見越して機能し、組織が迅速に対策を講じて脅威を軽減できるようにします。以前、この保護機能はアクティブに管理されている API でのみ使用できました。このたび、Advanced API Security でシャドー API を検出する機能が加わったことで、見つけにくい盲点をなくしてセキュリティのギャップを埋められるようになりました。

Advanced API Security でシャドー API を検出する

Advanced API Security が Google Cloud のリージョン外部アプリケーション ロードバランサと統合され、特定リージョン内の API トラフィックを検出、特定して規制要件とパフォーマンス要件をサポートできるようになりました。

次の例は、ベルギー リージョン（europe-west-1）での実際の動作を示しています。

Advanced API Security はロードバランサを通過するリクエストとレスポンスを検査することで、API とその関連情報（API エンドポイント、プラットフォーム、プロトコル、パラメータ名、レスポンスなど）を抽出します。直感的なインターフェースを通じて、API が動作している場所や、実行されているオペレーションの種類、API の最新アクティビティについて重要な詳細にアクセスできます。

シャドー API 検出では、履歴データも参照して新しい API 呼び出しを発見し、新たなシャドー API の認識や検出を常時行えます。さらに注意が必要な個々のエンドポイントにタグを付けて、API サーフェス全体で包括的な保護を確保することができます。

シャドー API を検出すると、API オーナーと協力して、全社的なセキュリティおよび API 管理標準に従って管理を確立できます。不足しているセキュリティ対策を実装して、侵害のリスクを軽減することもできます。

シャドー API 検出機能の利用を開始する

Advanced API Security でシャドー API を検出すれば、セキュリティ対策を強化し、アプリケーション インフラストラクチャに潜む脆弱性を見つけるためのさらにプロアクティブなアプローチを導入することができます。シャドー API 検出機能を使える Advanced API Security にアクセスするには、今すぐお申し込みください。

-Google Cloud、グループ プロダクト マネージャー Nils Swart

-Google Cloud、プロダクト マネージャー Shelly Hershkovitz