API のセキュリティ
脆弱性を検出し、悪用から保護するポジティブなセキュリティモデルでAPIを保護します。
社内外でのAPI利用により、企業の攻撃対象領域は急速に拡大しています。この拡散を管理し、脅威を最小限に抑えるためには、企業がセキュリティ戦略の一環としてAPIを自動的に識別することが重要です。
アプリケーションが次々にデプロイされていくとき、複数のAPIは常にOpenAPI(Swagger)の1つのファイル内にドキュメント化されるとは限らず、セキュリティ対策が及ばなくなってしまいます。
モバイルアプリケーションからクラウドネイティブアプリケーションまで、機密データへのアクセス機会は急速に増えています。機密データにはガバナンスが欠かせないため、そのデータにアクセスするためのAPIにまで、ガバナンスの範囲を広げる必要があります。
企業・組織はAPIを適切に保護するため、ビジネスオブジェクトレベルの認可とビジネス機能レベルの認可まで含めた「OWASP API Security Top 10」を求めています。
APIは急速にオンライン化され、予告なしに変更されます。適切なソリューションなら、各APIの状態(パブリック、バックエンド、シャドウ、ゾンビ)と、それがいつ変更されたかを特定できます。
どのデータがAPIを介して共有されるのかを知ることは、APIによるアクセスをデータプライバシー規制にしっかりと準拠させるための第一歩です。
すべての攻撃が同じように作られているわけではなく、アプリケーションのビジネスロジックを標的とした高度な攻撃では、ボットが警告を発することなく顧客データを盗み出すことが可能です