コンテンツに移動
Public Sector

Apigee は政府機関のゼロトラスト導入にどう役立つのか

2023年6月1日
https://storage.googleapis.com/gweb-cloudblog-publish/images/Apigee_Next_A_1-max-26002600.max-2600x2600.png
Google Cloud Japan Team

※この投稿は米国時間 2023 年 5 月 26 日に、Google Cloud blog に投稿されたものの抄訳です。

政府機関のアプリケーション エコシステムを効果的に構築するうえで重要となるのが、安全なデータ共有です。新しいアプリケーションを構築する代わりに API を使用すると、行政機関のリーダーは既存の技術環境内でデータドリブンな分析情報を収集できるようになります。API を活用することで、政府機関はアプリケーション ベースの情報を統合し、その目標を支えることができます。

米国政府機関では現在、サイバー攻撃の検出と防御のために、ゼロトラスト セキュリティ アーキテクチャの導入が推奨されています。API の保護は、ゼロトラスト アーキテクチャの実装における基本原則です。Gartner® は自社の Innovation Insight for API Protection レポートで次のように述べています。「今年は 15% 未満ですが、2026 年までに、組織の 40% が高度な API 保護とウェブ アプリケーション セキュリティの機能に基づいてウェブ アプリケーションや API 保護のプロバイダを選択するようになるでしょう。」

この投稿では、Google Cloud の Apigee が、ゼロトラストの原則に沿った API 保護の構築にどのように役立つかを説明します。

政府機関のゼロトラスト アーキテクチャ導入における Apigee のメリット

Apigee は、政府機関のセキュリティ リーダーがプラットフォーム アプローチを採用して API を安全に管理するのに役立つ、フル ライフサイクルの API 管理プラットフォームです。図 1 に示されているように、政府機関は Google Cloud のソリューションである「ウェブアプリと API の保護」(WAAP)を使って、ゼロトラスト アーキテクチャへの取り組みを開始できます。WAAP は Cloud Armor、reCAPTCHA Enterprise、Apigee を使用して政府のウェブサイトを保護します。また、bot や不正行為のリスクを軽減して即座に結果を出し、成熟したセキュリティ対策を支援します。Apigee には、セキュリティ、トラフィック管理、可視性、自動化、ガバナンスに対応するすぐに使えるポリシーが備わっており、ゼロトラストに準拠したアーキテクチャに必要とされる重要な要素を 1 か所で管理できます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/Screenshot_2023-05-23_9.41.53_AM.max-1200x1200.png
図 1. アーキテクチャ概要: Google Cloud のウェブアプリと API の保護

ゼロトラストに対応した Apigee ソリューションの特徴

図 2 には、Apigee の機能を示すリファレンス アーキテクチャの概要が示されています。ポリシー管理および適用ポイントとして機能しつつ、ウェブ アプリケーション ファイアウォール、消費者の行動 / インテント ベースの信頼アルゴリズム、IAM、分析システム、ロギング システム、モニタリング システムとシームレスに連携します。このアーキテクチャは、アクセスデータのテレメトリーに基づいてシステムのオブザーバビリティを向上させ、ゼロトラスト アーキテクチャを段階的に成熟させるための基盤を提供します。

https://storage.googleapis.com/gweb-cloudblog-publish/images/Screenshot_2023-05-23_9.40.49_AM.max-1200x1200.png
図 2. NIST 800-207 のユースケース。契約社員と複数のクラウド プロバイダを抱える企業。ゼロトラスト アーキテクチャを実現するポリシー管理および適用ポイントとしての Apigee で保護されている

マルチクラウド API ゲートウェイ: Apigee は、クラウドでホストされるポリシー構成および適用ポイントであり、適用エンジンの復元性に関するリスクを軽減します。パブリック クラウドやプライベート クラウドの任意の環境で、一貫した制御によって API を管理することができます。また、OIDC、Oauth 2.0、SAML、JWT の SSO、MFA、コンテキストアウェア アクセス、パスワードなしのアクセス機能を適用するためのすぐに使えるポリシーを備え、クラウド ファーストの高度なリソースの認証と認可を提供します。

自動化された脅威対策: Apigee の Advanced API Security により、API の構成ミスの特定、bot の検出、セキュリティ スコアと保護に関する推奨事項の提供、API 環境のセキュリティ修復の自動化が可能になります。また、単一の IP アドレスからの大量の呼び出しなど、異常なトラフィックを示す特定の API トラフィック パターンを使用して、DDoS や OWASP Top 10 の脅威から保護します。

シームレスなインテグレーション: Apigee は、悪意のある消費者の行動を検出するために reCAPTCHA などの信頼アルゴリズムと統合できるだけでなく、OWASP Top 10 の攻撃から保護するために Cloud Armor などの WAF とも統合でき、高度な脅威対策を提供します。

Identity and Access Management(IAM): Apigee は、Google Cloud Identity、Okta、Active Directory などの既存の ID プロバイダとの統合によって ID 管理を簡素化します。多要素認証、特権アクセス、ID 連携、行動パターン検出、生体認証信号などの ICAM システムと連携して高度なセキュリティ ポリシーを適用できます。さらに、Oauth 2.0、JWT、SAML トークンを使用して時間制限付きアクセスを実装する API の継続的かつコンテキストに応じた認証と認可の環境を構築します。

分析とモニタリング: Apigee Analytics は、API のパフォーマンスとセキュリティの全体像の把握を可能にし、組織が API をリアルタイムでモニタリングし最適化できるようにします。これには、API の使用状況、パフォーマンス、セキュリティに関する詳細な分析情報が含まれます。また Apigee は、Google の Chronicle のようなさまざまな SIEM システムとシームレスに統合することもできます。

ガバナンス、コンプライアンス、監査: Apigee の API Hub を使用すると、組織のすべての API に関する情報を 1 か所に集めて管理できます。Apigee API Hub には設計、実装からサポートの終了、使用停止に至るまでライフサイクルのあらゆる段階の API が含まれ、一貫した設計基準とガバナンス チェックを徹底することができます。

次のステップ

Apigee は、安全な API 管理を通じて、重要なライフサイクル管理を実装するためのプラットフォーム ベースのアプローチを提供します。私たちのアプローチには、時間制限のあるアクセスのプロビジョニングと終了に対処する機能の提供、主権を保護しながらデータを活用する機能、企業リソースのガバナンスに自動化と深い可視性を提供する機能が含まれ、これらすべてがゼロトラスト アーキテクチャの成熟を促すために役立ちます。

API とアプリケーションを保護するためのベスト プラクティスを確認して、Google Cloud で Apigee を使ってみましょう。ぜひ、無料トライアルの開始または料金の確認をご検討ください。また、Apigee セールスまでお問い合わせいただくと、API 管理のユースケース評価をお手伝いいたします。


- Google Public Sector、カスタマー エンジニア Saurabh Chhatwal
投稿先