適切に管理されていないAPIはセキュリティリスクを生み出します。効果的なAPIセキュリティを実装することで、これらの脆弱性に直接対処できます。
APIはアタックサーフェスとして急速に拡大している
セキュリティ上の最大の懸念事項はAPIであると答えたESG調査回答者の割合
APIのセキュリティ不備が原因で受けた攻撃によりデータを失ったことがあると答えたESG調査回答者の割合
APIのセキュリティ上の課題を理解する
全体的なアプリケーション・セキュリティ体制に対する認識不足
開発チームとAppSecチームは、シャドーAPIや不正なAPIが含まれているアプリケーションAPIの全体像を把握していません。多くの場合、APIドキュメントの不正確な記載または記載の欠落により、リスク管理体制に対する誤った認識が生じています。
APIテストのベスト・プラクティスに関する専門知識の欠如
多くの組織は、AppSecプログラムの一環としてWebインターフェイスとバックエンドAPIを適切にテストする方法に関する知識が不足しています。QAチームは、認証とアクセス制御のためにAPIを手動で設定する手間を取られ、膨大な時間とリソースを消費しています。
外部サービス間のAPIアーキテクチャとデータフローの可視性の制限
AppSecチームは往々にして、APIエンドポイントからアプリケーション内のコンポーネントへのデータフローについて、全体像ではなく、システムリスクの概略しか把握していません。
ブラック・ダックのソリューションを活用して効果的なAPIセキュリティ・テスト・プログラムを作成する
組織は、APIベースのアプリケーション・リスクに取り組むための戦略を含む包括的なAPIセキュリティ・テスト・プログラムを策定する必要があります。エンタープライズ・アプリケーションを潜在的な脅威から保護するには、APIライフサイクル管理とポリシーに関する計画を作成し、企業のアタックサーフェス全体にわたるすべての既知のAPIとシャドウAPIのAPIインベントリをカタログ化した上で、アプリケーション・セキュリティ・テスト・ツールにより脆弱性を検出し、APIの弱点に関する分析情報を生成します。
APIの自動検出
アプリケーションによって公開されているエンドポイントを自動的に検出し、継続的なテストを実行するSeekerを利用することで、すべての既知および未知のAPIエンドポイントを検出し、APIカタログを作成してアプリケーション環境全体にわたるAPIを見つけることができます。このツールは、自動的にインベントリを更新し、APIの継続的なテストを実行して脆弱性リスクを評価することにより、APIセキュリティの課題に取り組むAppSecチームの負荷を軽減します。
継続的なAPIテスト
アタックサーフェス全体を自動的にテストするSeekerのActive Inspection(アクティブ検査)機能は、API仕様を取得し、アプリケーションのアタックサーフェスを網羅するリクエストを自動的に生成します。Seekerは、既存の認証済みセッションを利用し、テスト用の認証トークンを再利用するため、面倒な設定が不要です。また、潜在的に危険なセキュリティ脆弱性を根絶するために、隠されたパラメータをテストし、アプリケーションで公開されている機密データにフラグを立てます。
修正が容易
視覚的なデータフロー・マップでコードとデータの欠陥を特定するSeekerにより、APIの背後にある実行中のコードとデータフローをホワイトボックス・テストで可視化できます。開発チームは、大規模なマイクロサービス・アプリケーション、組織内の接続されたサービス間の接続、外部Webサービス・プロバイダーへの発信接続など、テスト対象のシステムのアーキテクチャを示すデータフローマップからコンテキストベースの修正ガイダンスとリアルタイムの情報を取得できます。Seekerは、GraphQLとRESTful APIを使用したマイクロサービス・アプリケーションをサポートしています。
APIプログラム戦略
APIセキュリティ・コントロールおよびポリシーを構築するブラック・ダックのアプリケーション・セキュリティおよびリスク管理サービスは、エンタープライズAPIプログラムの戦略設計、脅威とリスクの評価、APIペネトレーション・テストなどの戦略的アドバイザリー・サービスを提供し、APIセキュリティのあらゆるニーズに対応します。
APIセキュリティ・テストの詳細はこちら
APIセキュリティの現状
APIセキュリティの準備はできていますか?
Web API セキュリティ・テストの実践