APIセキュリティとは?
現代企業は、APIを使って高速で魅力的なデジタル体験を実現しています。APIは今や、Cloudflareが処理するインターネットトラフィックの半分以上を占めていますが、外部�からアプリケーションにアクセスする手段であるAPIには新たなリスクが伴います。セキュリティプロセスが軽視され、継続的デプロイメントのサイクルが短くなれば、この問題がさらに深刻化します。
APIセキュリティは、アプリケーションロジックの露出、アプリケーションのパフォーマンス中断、機密データの露呈につながりかねないAPI中心の攻撃や、その他の脅威から保護します。より一般的なWebアプリケーションセキュリティサービスと比べると、APIセキュリティソリューションが提供するビジネスコンテキストや検出手法は詳細で、認証・認可の検証コントロールも緻密です。
シャドーAPI
APIの完全なインベントリがない企業は少なくありません。把握できていない「シャドーAPI」は、データ露出、未修正の脆弱性、ラテラルムーブメント、その他のリスクを孕んでいます。
ビジネスロジックを悪用した詐欺
ボットオペレーターは、アカウント作成、フォーム入力、決済などのワークフローで使用されるAPIを直接攻撃して、資格情報などを窃取することができます。
安全でないAI生成コード
生成AIの台頭によって、AIモデルのAPIが攻撃に対して脆弱になる、開発者が欠陥のあるAI生成コードをリリースするといった潜在リスクがあります。
主なユースケース
ホスト場所を問わずAPIを保護 — 開発者のイノベーションを阻まず、生産性を損なわず
シャドーAPIの検出
APIの存在を知らなければ、保護も管理もできません。機械学習モデルとセッション識別モデルで、シャドーAPIを含めたすべてのAPIエンドポイントを検出します。
API不正利用の軽減
APIは概ね、Webアプリに比べて保護が薄く、そこをボットやDDoS攻撃に悪用されて資格情報や金銭が盗まれるケースが増えています。検証で正当と確認されたAPIトラフィックだけを通すことにより、APIの不正利用を阻止します。
データ漏洩の検出
保有するAPIやサードパーティとのAPI統合に脆弱性があると、データへの無認可アクセスが生じかねません。すべてのSaaSアプリ、Webアプリ、APIのデータ漏洩対策を統合します。
APIパフォーマンスの追跡と分析
APIのエラーはサイバー攻撃やアプリケーションパフォーマンスの問題を示している可能性があり、正当なトラフィックを妨げる結果になり得ます。APIパフォーマンスの現状を理解し、すばやく最適なアクションをとります。
主な機能
WebアプリケーションとAPIセキュリティを統合した単一のプラットフォームでAPIを多層防御
組み込み型の認証
正当なクライアント以外からのリクエストをブロックします。mTLS証明書、JSON Webトークン(JWT)、APIキー、OAuth 2.0トークンを使って、APIトラフィックの認証と検証を行います。
API不正利用の検出
APIトラフィックのベースラインを設定し、エンドポイントごとのセッションベースのレート制限示唆と、GraphQLを悪用するサービス妨害(DoS)攻撃からの保護によって、不正利用を阻止します。
スキーマの検証
API侵入の多くは、スキーマ(有効なAPI呼び出し・応答を定義するメタデータ)がPermissiveになっているために起こります。スキーマ検証により、不正な形式のリクエストやHTTPの異常をブロックし、有効なAPI呼び出しだけを受け入れます。
機密データを保護
オリジンサーバーからのAPI応答に含まれる機密データを検出し、エンドポイントごとにアラートを受け取ります。
