Google Cloud 向けの Apigee Advanced API Security の発表

※この投稿は米国時間 2022 年 7 月 1 日に、Google Cloud blog に投稿されたものの抄訳です。

地域、業界を問わずどの組織も、サービスとデータをより簡単かつ標準化された方法で提供し、デジタル エクスペリエンスを改善するために、API の開発を進めています。デジタル エクスペリエンスへのシフトが顕著になるにつれ、API の使用量とトラフィック量も増加しています。その一方で悪意のある API 攻撃も増加しているため、API セキュリティはビジネスリスクにおける重要なトピックとなっています。

増大する API セキュリティのニーズに対処しやすくするために、Google Cloud は本日、Advanced API Security のプレビュー版を発表します。Advanced API Security は、Google の API 管理プラットフォームである Apigee 上に構築されています。API セキュリティ機能を包括的に備え、組織のセキュリティ脅威の検出を容易にします。ここでは、今回のリリースに含まれる 2 つの主要な機能を紹介します。API の構成ミスの特定と、bot 検出です。

API の構成ミスの特定

誤って構成された API は、API セキュリティ インシデントの主な要因の一つです。2017 年、Gartner® は、2022 年までに、企業のウェブ アプリケーションのデータ侵害につながる攻撃ベクトルとして、API の不正使用が最も頻繁に使用されるようになると予測しました。そして現在、Google のお客様から、アプリケーションの API のセキュリティが最大の懸念事項の一つであるとの意見が寄せられており、これは、2021 年の Fugue and Sonatype の独自調査とも一致しています。その調査報告によると、データ侵害の最大の原因は構成ミスであり、クラウド API とインターフェースが多すぎて管理しきれないことで、サイバー攻撃に付け入る隙を与えている場合が多いことがわかりました。

API の構成ミスを特定して解決することは、多くの組織にとって最優先事項です。しかし同時に、構成管理プロセスには時間がかかり、かなりのリソースが必要になる可能性があります。

Advanced API Security により、API チームはセキュリティ標準に準拠していない API プロキシを簡単に特定できます。構成が誤っているか、悪用されている API の特定に役立つように、Advanced API Security はマネージド API を定期的に評価し、構成の問題が検出された場合は推奨される対応を API チームに提案します。

API は、先進医療を円滑に実施するうえで、患者や医療スタッフとデジタルの領域とを仲介する欠かせない要素となります。ヘルスケア API の一般的なユースケースの一例として、患者の医療保険情報を、保険会社と連携するシステムに医療組織が入力する場合が挙げられます。そのシステムでは、特定の投薬または医療行為に対し、患者の保険の適用範囲がほぼ瞬時に決定されます。これは、API の活用によって実現しているプロセスです。個人の医療と健康に関する機密性の高いデータが送信されることが多いため、保険会社などの承認されたユーザーのみが API にアクセスできるように、必要な認証および認可ポリシーを実装することが重要です。

Advanced API Security は、必要とされるこれらのポリシーが適用されていない場合にそれを検出できます。これは、API セキュリティ上のリスクとなる攻撃対象領域を減らすのに役立つアラートです。Advanced API Security を活用することで、医療機関の API チームは、構成ミスの問題を検出しやすくなり、機密情報に対するセキュリティ リスクを軽減できます。

bot の検出

API トラフィックの量が増加しているため、API bot 攻撃の形でのサイバー犯罪も増加しています。これは、個人情報の盗難などの悪意ある目的でインターネット上に展開される自動ソフトウェア プログラムです。

Advanced API Security は、事前に構成されたルールを使用して、API チームが API トラフィック内の悪意のある bot を簡単に特定できるようにします。それぞれのルールは、単一の IP アドレスからのさまざまなタイプの異常なトラフィックを表します。API トラフィックのパターンがいずれかのルールと合致する場合、Advanced API Security はそれを bot として報告します。

さらに、Advanced API Security は HTTP 200 OK という成功ステータスを示すレスポンス コードを正常に返した bot を特定することで、データ侵害を特定するプロセスをスピードアップできます。

金融サービスの API は、処理される価値の高いデータを狙った、悪意のある bot 攻撃の標的になることがよくあります。オープン バンキング標準を採用し、API を介して顧客やパートナーにアクセスできるようにしている銀行は、Advanced API Security を使用すると、トラフィック パターンの分析と悪意のあるトラフィックのソースの特定が容易になります。銀行がサードパーティのアプリケーションを使用してデータにアクセスすることを許可している場合、このようなことが発生する可能性があります。悪意のあるハッカーが bot を使用してそうした情報へのアクセスを試みたとしても、Advanced API Security があれば、銀行の API チームが API トラフィック内の悪意のある bot アクティビティを特定して阻止しやすくなります。

Equinix の API セキュリティ

Equinix は、インフラストラクチャの統合と相互接続によってデジタルの優位性を強化することで、世界のデジタル リーダーを支援しています。99.999% 以上の稼働時間を誇る、240 を超えるデータセンターから成るグローバル ネットワークを運用している Equinix は、組織のグローバルな相互接続をシンプルにし、Apigee API 管理プラットフォームを使用して顧客の時間と労力を節約します。  

Equinix のプラットフォーム担当シニア バイスプレジデントである Yun Freund 氏は次のように述べています。「Equinix の成功の主要な要因となったのは、デジタル インフラストラクチャ サービスを安全かつ迅速にお客様とパートナーに提供する Google の Apigee です。セキュリティは、当社の API ファースト戦略の重要な柱です。Apigee のおかげで、お客様がビジネスに必要な接続を安全にブリッジして、潜在的なセキュリティ リスクを簡単に特定し、脅威をタイムリーに軽減できる環境を整えることができています。API トラフィックの増加に伴って、API を保護するために必要な時間と労力も増えてきました。1 つのマネージド プラットフォームにバンドルされたソリューションがあると、差別化された高性能なソリューションが得られます。」

使ってみる

詳しくは、ドキュメントをご確認ください。また、Advanced API Security を実際に使用してみたいという方は、ぜひお問い合わせください。

API セキュリティのベスト プラクティスについてさらに情報をお求めの場合は、7 月 28 日木曜日の午後 2 時（太平洋時間）に開催される Cloud OnAir ウェブキャストに登録して参加することをご検討ください。

_{Gartner, API Security: What You Need to Do to Protect Your APIs、Mark O'Neill 氏、Dionisio Zumerle 氏、, Jeremy D'Hoinne 氏、2019 年 8 月 28 日}

_{Gartner は、Gartner, Inc. および / またはその関係会社の米国およびその他の国における登録商標およびサービスマークであり、同社の許可を得て使用されるものです。著作権はすべて同社に帰属します。}

- Google Cloud プロダクト担当ディレクター Vikas Anand