BLOG

F5はAPIを保護するためにシフトレフトしている

Chuck Herrin サムネール
Chuck Herrin
Published February 07, 2024

アプリケーション・プログラミング・インターフェース(API)は、現代のデジタルライフの隠れた根幹です。APIは、私たちがお気に入りの店でモーニングコーヒーを購入するために、オフィスのドアにバッジを付けるために、同僚と外出するためにタクシーをつかむために、天気をチェックするために、そして最後に長い一日の終わりに座って大好きなテレビ番組をストリーミングするために使用するアプリを日々動かしています。私たちが日々接しているほぼすべての組織が、そのように考えているかどうかにかかわらず、デジタル・ビジネスを推進するためにAPIに依存しています。

APIファーストのソフトウェア開発と提供の台頭は、数え切れないほど多くの方法で、世界をより良い方向に変えてきました。しかしそこには問題があります。アプリケーションやアーキテクチャが変われば、攻撃対象も変わります。WAF、DDoS、ボット対策のような従来のセキュリティ対策は依然として不可欠だが、これらの対策だけではAPIを完全に保護するには不十分です。これらの対策は、当時の攻撃対象に合わせて構築されたものであり、将来の攻撃対象や、ここ数年のAPIの急速な普及によってもたらされた変化を予測することはできないからです。

アプリケーションおよびAPIセキュリティのグローバルリーダーとして、F5のテクノロジーは世界のアプリケーションの約半分のデータパスに位置し、最新のWebおよびモバイルアプリケーションに対する攻撃を独自の視点で監視しています。F5の分析によると、今日、ウェブベースのサイバー攻撃の90%以上がAPIエンドポイントを標的としており、セキュリティチームが積極的に監視していないAPIによって、理解されていない新しい脆弱性を悪用しようとしています。

攻撃や攻撃対象が変化するにつれて、防御も適応していかなければいけません。業界では現在、生成型AIに注目が集まっており、人工知能や機械学習(AI/ML)モデルをサポートするアプリやAPIの量も急速に増加しているため、さらに複雑さが増しています。現代の企業には、高価で厄介な、そしてしばしば防止可能な侵害に拡大する前にリスクを発見し、軽減することに重点を置いた、ダイナミックな防御戦略が必要です。

こうした急速な変化のペースにより、重要なAPIのセキュリティ確保は、あらゆる種類の組織にとって重要な課題となっています。すでに手薄になっている開発者やセキュリティ担当者のチームは、自社がどれだけのAPIを使用しているのか、APIがどこにあるのか、そして、これらのインターフェースがサポートする重要なデータやビジネスプロセスに関連するコンプライアンスやその他のリスクを把握していないことが多いです。

テクノロジーは常に変化しているが、APIセキュリティ現象はサイバーセキュリティの基本原則を浮き彫りにしています。NISTのような主要なコントロールフレームワークが、ほとんどの場合において、最初に「識別」から始まるのには理由があります。簡単に言えば、見えないものを守ることはできず、理解できない攻撃対象のリスクを効果的に管理することは不可能だからです。

Credit: N. Hanacek/NIST

APIの盲点は根本的な問題となっており、今日、APIに関してあまりにも多くの組織が盲点となっています。GARTNERや他の業界アナリストは、少なくとも2019年以降、APIが1番の攻撃ベクターになると予測しており、我々のデータもその主張を裏付けています。

サイバーセキュリティ業界は、今のところ主にAPI開発のある側面や別の側面を対象としたポイントソリューションで対応しています。そのような製品は、使用されていることが分かっているAPIを見つけるためのAPIディスカバリーや、脆弱性を見つけてそのギャップを埋めようとするスキャンやテストツールのような、多様だが限定的な機能を提供しています。

しかし、APIセキュリティの未来は、あなたが自分で組み立てて統合しようとしなければならない一連のポイントソリューションではありません。そこでF5 Distributed Cloud Servicesの登場です。

企業の未来を築くには、将来のための装備を整えなければならない。

分散コンピューティングとアプリケーション・セキュリティの業界リーダーであるF5は、APIがこのように重要視されるようになることを予見し、5年前に、ゲームを変えるような機能スイートの構築を開始し、現在のF5 Distributed cloud servicesがそれに当たります。

今日のAIを活用したアプリケーションは、オンプレミス、クラウド、エッジの各所に分散配置されたデータソース、モデル、サービスに依存しており、急速に増加するAPIによって結合されています。F5がF5 Distributed Cloud Servicesに高度なAPIコードテストとテレメトリー分析を導入し、業界で最も包括的でAIに対応したAPIセキュリティソリューションを構築することをアナウンスすることで、お客様がこれらの絡み合った課題と機会に対処できるよう支援します。APIセキュリティのイノベーターであるWibから最近取得した機能を追加することで、アプリケーション開発プロセスにおける脆弱性の検出と観測が可能になり、APIが本番環境に入る前にリスクを特定し、ポリシーを実装することができます。

APIセキュリティの未来のように、F5 DISTRIBUTED CLOUD PLATFORMは、すべてのエンタープライズコンピューティングの未来のために構築され、これらの本質的な特性を共有しています:

  • マルチクラウド
  • APIファースト
  • AIを搭載

最高のものをさらに良くする

F5はすでに、WebアプリとAPI保護(WAAP)サービスのF5 Distributed Cloudスイートで、堅牢なAPI検出と保護を提供しています。このプラットフォームは、API用の堅牢なスキーマを自動的に作成して検証し、実用的な洞察によってAPIリスクを明らかにし、AI/MLを活用して複雑なAPI攻撃を軽減するなどの機能を備えています。F5 Distributed Cloud WAAPとNGINX App Protect、BIG-IP Advanced WAFにより、F5はあらゆるアプリとAPIをあらゆる場所で保護する独自の機能を顧客に提供します。

そして今、F5はAPIライフサイクル全体への対応にシフトしています。

WibプラットフォームとF5 Distributed Cloud API Securityの組み合わせは、業界で最も包括的なAPIセキュリティソリューションを提供します。

これを実現するために、私たちは現在のAPI検出と保護機能を以下のように強化しています:

  • API コード解析:API エンドポイントを発見し、本番環境に導入する前にそのリスクを評価
  • APIテスト:脆弱性を調査し、コードおよびトラフィック分析で検出された脅威の疑いを検証
  • APIコンプライアンス分析:お客様の規制要件に沿った適切なAPIセキュリティ体制を確保
  • API脅威サーフェス評価:新しいAPIの出現や、セキュリティガバナンスの外にあるAPIについて、組織の公開資産を監視
  • APIセキュリティ・フュージョン・エンジン:すべての脅威、脆弱性、または洞察がすべての情報ソースにわたって検証される、シームレスに統合されたソリューションを作成

Wibの前CTOとして、また新たにF5erになった者として、Wibの機能をF5 DISTRIBUTED Cloud servicesにもたらすというチームの興奮を分かち合い、私たちはすでに、世界が見たこともないような最も堅牢で包括的なAPIセキュリティ・プラットフォームを提供するために、技術の統合に懸命に取り組んでいます。

コードからクラウドまで、真の可視性とセキュリティを備えた世界初の総合的なアプリおよびAPIセキュリティ・ソリューションで、アプリとAPIのセキュリティを確保しましょう。

どこでも実行でき、どこでも安全なのはF5だけです。