Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

【特別企画】経営者と現場で認識にギャップも、見逃される「API」のリスクとどう向き合うか

東西南北を行き交うAPI通信を可視化する

「API」のセキュリティが重要となるなか、長年にわたり「ウェブアプリケーションファイアウォール(WAF)」を提供してきたImpervaが考えたアプローチはまさに「APIトラフィック」の可視化だ。

組織と外部におけるいわゆる「南北(North-South)」の通信はもちろん、組織内における「東西(East-West)」の通信を可視化できるよう2タイプのソリューションを展開している。

クラウドWAFのアドオンである「Imperva API Security for Cloud WAF」は、内外でやり取りされるトラフィックの可視化する。DNSを変更するだけで導入できる手軽さが特徴だ。

スタンドアロンで利用できる「Imperva API Security for Anywhere」は、組織内部を行き交う「API」のトラフィックを可視化できる。キャプチャしたパケットやログを分析するため、レガシーアプリケーションはもちろん、クラスタ、マイクロサービス、サーバレスなど、幅広い環境に対応。開発段階から本番環境まで柔軟に利用できる。

いずれも機械学習エンジンを用い、通信内容を分析することで、どのようなAPIが稼働し、どのようなデータがやり取りされているかを可視化し、異常な通信や攻撃などを検知できる。

次々とあらたな技術を取り入れられる開発中のアプリケーションにおいて、「API」の利用状況が刻々と変化しても、変更部分をキャッチアップできるため、開発者にとっても便利な機能と言えるだろう。

20230306_im_002.jpg
外部と内部の通信はもちろん、組織内のマルチ環境におけるAPIトラフィックも可視化することが可能。異常な通信より内外の脅威をいち早く把握できる(画像:Imperva Japan)

開発など本来重要な業務へリソースを集中させるためにも自動化を

「Imperva API Security」の展開にあたり、Imperva Japanの代表執行役社長である柿澤光郎氏は、長年WAFを展開してきたセキュリティベンダーとしてのノウハウが強みであると自信を見せる。

20230306_im_003.jpg
柿澤光郎氏

すでに海外では導入が進む「Imperva API Security」だが、国内では金融機関などで実証テストが進行中だ。テストに参加した企業からは、「想像を上回る数のAPIが使われていた」「想定していなかったAPIが検出された」といったフィードバックが寄せられているという。

同社セールスエンジニアの東秀亮氏は、「膨大なAPIを人の目でチェックしようとしても、どうしてもミスや漏れがでてしまう」と指摘。同製品の強みとして数多くの「APIトラフィック」を自動で可視化できることを挙げた。本来の目的である開発に注力できるよう、開発現場などでも同ソリューションをぜひ活用してほしいと語る。

WAFとのシームレスな連携もポイントだ。「API」の可視化や不正な通信のブロックにくわえて、ボットや不正ログイン、DDoS攻撃の対策なども同時に実装できるため、金融や小売分野からも高い関心が寄せられているという。

やはり課題のひとつは、経営者、ビジネス部門、IT部門におけるセキュリティの意識のギャップをどのように埋めるか、だ。ビジネス部門などセキュリティに目が向いていないことも多い。セキュリティ担当者に限っても知識のばらつきを感じることがあると同社シニアセールスエンジニアの木田貴章氏も話す。

海外では「API」に起因する事故の発生によって注目が高まったが、国内ではまだまだ認識されていないところも多いとし、被害を未然に防ぐためにも広くリスクを知ってもらいたいと同氏は語った。

柿澤氏は、ビジネス部門の担当者とも意見を交換する機会を増やし、「APIセキュリティ」の重要性を訴えている。「セキュリティの意識を高めることは、Impervaだけの課題ではなく、日本の国力を底上げするためにも重要。業界全体で啓発していきたい」と述べた。

(提供:Imperva Japan - 2023/04/03 ) このエントリーをはてなブックマークに追加

PR

関連記事

ラック、WAFの管理運用サービスを開始 - カスタムシグネチャも
サイト棚卸しサービスにクラウド型WAF - NRIセキュア
NRIセキュア、AWS向けWAF管理サービス
Imperva、AWSでWAFの提供を開始
アズジェント、サイト改ざんやDDoS攻撃に対応するSaaS型サービス
NRIセキュア、データベースの不正操作を防ぐ新サービス
Imperva Japan、WAFをネット経由で提供 - DDoS対策サービスも用意
マクニカソリューションズ、Imperva製「SecureSphere」を販売開始
アークン、WAFを設計から運用までワンストップで提供
米Impervaの最新DB保護ソリューションを発売 - 東京エレクトロンデバイス