全体的なアプリケーション・セキュリティ態勢に対する知識の不足
開発チームとAppSecチームは、シャドーAPIや不正なAPIが含まれるアプリケーションAPIの全体像を把握していません。多くの場合、APIのドキュメントの記載が不正確、または欠落していることで、リスク態勢に対する誤った認識が生じています。
APIテストのベスト・プラクティスに関する専門知識の欠落
多くの組織は、AppSecプログラムの一環としてWebインターフェイスとバックエンドAPIを適切にテストする方法に関する知識が欠落しています。QAチームは、認証とアクセス制御のためにAPIを手動で設定する手間を取られ、膨大な時間とリソースを浪費しています。
外部サービス間のAPIアーキテクチャとデータフローの不十分な可視性
AppSecチームは往々にして、APIのエンドポイントからアプリケーション内のコンポーネントへのデータフローについて、全体像ではなく、システムリスクの概略しか把握していません。
組織は、APIベースのアプリケーション・リスクに取り組むための戦略を含む、包括的なAPIセキュリティ・テスト・プログラムを策定する必要があります。APIライフサイクル管理とポリシーに関する計画を作成し、企業のアタック・サーフェス全体にわたるすべての既知のAPIとシャドウAPIのAPIインベントリをカタログ化し、アプリケーション・セキュリティ・テスト・ツールにより脆弱性を検出して、APIの弱点に関する解析情報を生成することで、エンタープライズ・アプリケーションを潜在的な脅威から保護できるのです。
Seeker Interactive Analysisを利用することで、すべての既知および未知のAPIエンドポイントを検出し、APIカタログを作成してアプリケーション環境全体にわたるAPIを見つけ出すことができます。このツールは、自動的にインベントリを更新し、APIの継続的なテストを実行して脆弱性リスクを評価することにより、APIセキュリティの課題に取り組むAppSecチームの負荷を軽減します。
Seeker Active Inspection は、APIの仕様を取得してアプリケーションのアタック・サーフェスを網羅するリクエストを自動的に生成します。Seekerは、既存の認証済みセッションを利用し、テスト用の認証トークンを再利用するため、面倒な設定が不要です。また、潜在的に危険な脆弱性を根絶するために、隠されたパラメータをテストし、アプリケーションが公開している機密データにフラグを立てます。
Seekerにより、APIの背後にある実行中のコードとデータフローの中身を可視化できます。開発チームは、大規模なマイクロサービス・アプリケーション、組織内のコネクテッド・サービス間の接続、外部のWebサービス・プロバイダーとの接続など、テスト対象のシステムのアーキテクチャを示すデータフロー・マップからコンテキスト・ベースの修正ガイダンスとリアルタイムの情報を取得できます。また、Seekerは、GraphQLとRESTful APIを使用したマイクロサービス・アプリケーションをサポートしています。
APIセキュリティの現状
APIセキュリティの準備はできていますか?
Web API セキュリティ・テストの実践