データ ストリームと顧客中心性が企業のビジネス プロセスを決定するデジタル エコノミーでは、API が重要な位置を占めます。 それらは、関連するデータ、システム、およびソフトウェア コンポーネントへのアクセスを提供します。 ただし、これはハッカーにとって興味深い標的にもなります。 API のゼロトラストの時代。
ハッカーは、API や API トラフィックを攻撃して、名前、アカウント番号、電子メール、住所などのデータを盗もうとします。 ただし、その性質上、API を保護し、それらをゼロ トラスト戦略に統合することは、セキュリティへのアプローチを再考する必要がある組織にさまざまな課題をもたらします。
ハッカーは API を攻撃するのが好き
「フォーミュラ1でさえ、ブレーキは車を減速させるためにあると考えているドライバーの数は驚くべきことです。」この皮肉で、レーシングドライバーのマリオ・アンドレッティはかつて、ブレーキは、その明白な目的を超えて、ブレーキもあるという事実を指摘しました。車の傾きと重量を制御し、コーナリングを最適化します。 同様に、IT セキュリティ ポリシーを実施することで、理想的には、基盤となるプロセスをより複雑にしてユーザーを苛立たせるのではなく、改善する必要があります。
ユーザー ジャーニーを加速、簡素化、または改善する必要がある場所には、どこでも API があります。たとえば、デジタル注文プロセスでのクレジット カード決済や、リモート メンテナンスやデバイス アップデートの実行などです。 この主張によると、セキュリティは最初からこのようなアプリケーション シナリオに「搭載」されている必要がありますが、現実には、ハッカーが独自の目的で API を悪用していることが示されています。 これは、不適切な認証および承認プロセスが原因で何度も発生します。
認証なしの API を使用中
たとえば昨年の春、Salt Security の API セキュリティ専門家は、ハッカーが特定のユーザー名が使用されているかどうかを判断するために呼び出すことができる API を、トラクターなどで知られる John Deere 社で発見しました。 専門家はクエリ ルーチンを自動化し、フォーチュン 1000 のどの企業が John Deere のアカウントを持っているかを 20 分以内に特定できるようにしました。これは、API が認証を必要とせず、クエリの数を制限しなかったためです。 約 XNUMX% の企業がアカウントを持っていました。
別の API エンドポイントにより、車両識別番号 (VIN) を送信し、デバイス、所有者、場所に関する大量のメタデータを取得できました。 ハッカーは、一般的なオークション サイトから簡単に VIN を入手できます。 API は認証を必要としていましたが、API 要求の送信者を適切に承認できませんでした。
API ライフサイクルに沿ったゼロトラスト
IT におけるデータ保護の基盤としての「セキュリティ バイ デザイン」は、API で実装するのが難しいようです。 これは、API の開発プロセスが主にビジネス仕様に基づいており、IT セキュリティのプロセスから組織的に切り離されていることが原因である場合があります。 企業のさまざまな関係者が、それぞれの目的に必要な API を開発および提供しています。 または、他社からインターフェイスを引き継いでいます。 これらの API がネットワーク インフラストラクチャに接続されているため、API を取り巻くセキュリティ構造に接続されているという仮定は、ユーザーに誤った安心感を与えます。 ただし、これは通常、企業の外部と内部の両方で API を介してデータ ストリームを保護するには十分ではありません。
特に後者には、独自のセキュリティ対策が必要です。 独自のインフラストラクチャからのすべてのアクセスが自動的に承認されるわけではないためです。 リクエストを真に効率的に制御するために、セキュリティ テクノロジは人、プロセス、およびアクセス パターンにも対処する必要があります。 さらに、原則は常に適用されます: 信頼は良いものであり、コントロールはより良いものです。 したがって、ゼロトラストでは、許可されたアクセスを取得するために、各デバイスと接続が接続されるたびにそれ自体を認証する必要があります。 これをAPIでも確実に成功させるためには、インターフェースのライフサイクル全体に沿ったセキュリティ対策が必要です。 API がセキュリティの脆弱性になるのを防ぐために、企業は次の XNUMX つの基本ルールに従う必要があります。
- エンドツーエンドの認証と認可: 関連するプロセスは、API またはゲートウェイで直接行われるだけではありません。 それらは、基礎となるアプリケーションで繰り返される必要があります。
- Continuos Integration/Continuos Delivery プロセスの活用: 開発者は、セキュリティ ガイドラインを本番サイクルに統合する方法と、その過程で CI/CD を使用してどの検証プロセスを自動化できるかを確認する必要があります。
- 自動化されたセキュリティ対策を実装します。 セキュリティ運用チームは、API 通信で交換されるデータが、インフラストラクチャ内および他のシステムとの両方で、送信全体にわたって保護されるようにする必要があります。 これを行うには、プロセスがポリシーを自動的に適用する必要があります。たとえば、データがどこにあってもアクセスできないように保護する必要があります。
- すべてを一元的にキャプチャ: IT セキュリティとアプリケーション開発をより適切に連携させるには、すべてのプロセスをログに記録して分析し、必要に応じてそれらのリスクをチェックすることが不可欠です。 これに適した場所は、担当者がいつでもすべてのプロセスを追跡できる中央リポジトリです。
- ITセキュリティとの連携: API 開発チームは、IT セキュリティ責任者と協力する必要があります。 彼らは協力して、考えられる API セキュリティの問題に対して既存の対策がどの程度効果的かを判断し、必要に応じてそれらを拡張することができます。 また、さまざまなデータ損失シナリオを実行し、緊急計画を作成する必要があります。 どのような状況でも、それを使用している部門だけが知っているシャドー API は避ける必要があります。
透明性を確保し、コントロールを行使する
セキュリティとデータ交換は矛盾を表す可能性があり、これは特に API にも当てはまります。一方で、企業は API を使用してプロセスを分割し、構造を開放し、ユーザーのプロセスを簡素化し、ビジネス モデルを拡張します。 一方で、この時点でデータ トラフィックの制御を失ってはなりません。 この XNUMX つを両立させるために、企業には透明性が必要です。 関係者全員が、使用するすべての API を把握し、確実に管理する必要があります。
API ゲートウェイは、社内のすべての API を自動的に検出し、セキュリティ ポリシーを適用するのに役立ちます。 効果的な API 管理ソリューションは、誰がどの API を使用しているかを監視し、承認されていない人物が働いていることを示す可能性のある異常または疑わしい動作について管理者に警告します。 また、各部門はセキュリティにも関与しています。 一元化された API ガバナンスと組み合わせることで、組織は API のライフサイクル全体にセキュリティを組み込み、ユーザー エクスペリエンスを損なうことなく、不正な通信の改ざんから API を保護できます。
詳細は Axway.com をご覧ください
アクスウェイについて
Axway は、既存の IT インフラストラクチャに新たな勢いをもたらし、世界中の 11.000 を超える顧客が既存のものを構築し、デジタル化、新しいビジネス チャンス、成長を実現するのを支援しています。 Amplify API 管理プラットフォームは、チーム、ハイブリッド クラウド、および外部ソリューション全体で API を管理および管理するための唯一のオープンで独立したプラットフォームです。