APIがオープンソース、サードパーティー製ライブラリ、コンポーネントに脆弱性を生み出し、組織にセキュリティ・リスクをもたらす可能性を低減するには、適切な設計、実装、管理が不可欠です。ブラック・ダックは、セキュリティおよび開発チームが効果的なAPIセキュリティ・テスト・プログラムを実現するために役立つツールやサービスを提供しています。
セキュリティ上の最大の懸念事項はAPIであると答えたESG調査回答者の割合
APIのセキュリティ不備が原因で受けた攻撃によりデータを失ったことがあると答えたESG調査回答者の割合
開発チームとAppSecチームは、シャドーAPIや不正なAPIが含まれているアプリケーションAPIの全体像を把握していません。多くの場合、APIドキュメントの不正確な記載または記載の欠落により、リスク管理体制に対する誤った認識が生じています。
多くの組織は、AppSecプログラムの一環としてWebインターフェイスとバックエンドAPIを適切にテストする方法に関する知識が不足しています。QAチームは、認証とアクセス制御のためにAPIを手動で設定する手間を取られ、膨大な時間とリソースを消費しています。
AppSecチームは往々にして、APIエンドポイントからアプリケーション内のコンポーネントへのデータフローについて、全体像ではなく、システムリスクの概略しか把握していません。
各アプリケーション資産のAPIエンドポイントを検出し、APIインベントリを構築します。APIインベントリを維持するために、自動化されたデプロイを追跡/監視します。
APIのセキュリティを評価し、脆弱性を継続的にテストします。APIのテストと文書化をCI/CDパイプラインに組み込み、実用的な結果を開発者にわかりやすい形式で提供します。
コード行の分析情報で結果を検証し、APIの弱点を修正します。また、問題を迅速かつ効率的にリアルタイムで修正します。
組織は、APIベースのアプリケーション・リスクに取り組むための戦略を含む包括的なAPIセキュリティ・テスト・プログラムを策定する必要があります。エンタープライズ・アプリケーションを潜在的な脅威から保護するには、APIライフサイクル管理とポリシーに関する計画を作成し、企業のアタックサーフェス全体にわたるすべての既知のAPIとシャドウAPIのAPIインベントリをカタログ化した上で、アプリケーション・セキュリティ・テスト・ツールにより脆弱性を検出し、APIの弱点に関する分析情報を生成します。
Seekerを利用することで、すべての既知および未知のAPIエンドポイントを検出し、APIカタログを作成してアプリケーション環境全体にわたるAPIを見つけることができます。このツールは、自動的にインベントリを更新し、APIの継続的なテストを実行して脆弱性リスクを評価することにより、APIセキュリティの課題に取り組むAppSecチームの負荷を軽減します。
SeekerのActive Inspection(アクティブ検査)機能は、API仕様を取得し、アプリケーションのアタックサーフェスを網羅するリクエストを自動的に生成します。Seekerは、既存の認証済みセッションを利用し、テスト用の認証トークンを再利用するため、面倒な設定が不要です。また、潜在的に危険なセキュリティ脆弱性を根絶するために、隠されたパラメータをテストし、アプリケーションで公開されている機密データにフラグを立てます。
Seekerにより、APIの背後にある実行中のコードとデータフローをホワイトボックス・テストで可視化できます。開発チームは、大規模なマイクロサービス・アプリケーション、組織内の接続されたサービス間の接続、外部Webサービス・プロバイダーへの発信接続など、テスト対象のシステムのアーキテクチャを示すデータフローマップからコンテキストベースの修正ガイダンスとリアルタイムの情報を取得できます。Seekerは、GraphQLとRESTful APIを使用したマイクロサービス・アプリケーションをサポートしています。
ブラック・ダックのアプリケーション・セキュリティおよびリスク管理サービスは、エンタープライズAPIプログラムの戦略設計、脅威とリスクの評価、APIペネトレーション・テストなどの戦略的アドバイザリー・サービスを提供し、APIセキュリティのあらゆるニーズに対応します。