Akamai、ビジネス悪用やデータ窃盗からAPIを守るAPI Securityを発表

※本リリースは2023年8月2日 (現地時間) マサチューセッツ州ケンブリッジで発表されたプレスリリースの抄訳版です。

APIへの攻撃が増え続ける今日、APIのセキュリティは組織にとって重大な懸念材料となっています。Akamai が最近発行したインターネットの現状レポート(※2)によると、2022年には、アプリケーションとAPIへの攻撃数が過去最多となりました。Web Application and API Protection（WAAP）製品を使用していても、なりすましなどで認可されてしまったAPIのふるまいや、データセンターやクラウド内部でのAPIの利用状況まで可視化することはできません。攻撃者はこの盲点に気づき、広範なAPIアタックサーフェスの悪用へとシフトしています。
※2：https://www.akamai.com/ja/resources/state-of-the-internet/slipping-through-the-security-gaps-the-rise-of-application-and-api-attacks

Akamaiが独立したソリューションとして提供するAPI Securityは、今年4月に発表されたAkamaiによる Neosecの買収(※3)がもたらした成果です。この製品は、あらゆるAPIゲートウェイ、WAAP、クラウド実装と併用できます。さらに、Akamaiのお客様は、エッジサーバーに統合されたエッジコネクターを活用することも可能です。これにより、クリックするだけで、インテグレーションとモニタリングの開始にかかる時間、労力、コストを節約できます。

※3：https://www.akamai.com/ja/newsroom/press-release/akamai-intends-to-acquire-neosec

API Securityは、APIアクティビティを完全に可視化し、ふるまい分析を用いて複雑な脅威を検知するとともに、データレイクに独自に保存されている履歴データの分析を通じて検知能力をさらに高めます。また、APIディスカバリー、可視化、リスク監査の機能に加え、検知と対処を支援する広範な調査と脅威ハンティングを提供します。API Securityの差別化要因ともいえるShadow Hunt脅威ハンティングのマネージドサービスでは、調査のために機械学習からのシグナルが人間のアナリストに提供されます。自社のAPIを把握できるということは、APIアクティビティを記録し、侵害の可能性があればそれを検知し、顧客データの安全を維持できるということです。

金融テクノロジー企業、Earnin社のCISOであるStan Lee氏は「AkamaiのAPI Securityは、すべてのアプリケーションの重要なAPIを検出し監視するためにとても役立っています。当社は、この製品のおかげで、ビジネスプロセスのアジリティと成果を実現しながら、コンプライアンスとリスク管理を向上させることができます」と、述べています。

AkamaiのApplication Security部門でSenior Vice PresidentとGeneral Managerを兼務するRupesh Chokshiは「最近発生した情報漏えい事件から、APIセキュリティソリューションが不可欠であることが痛いほど明らかとなりました。今や、APIベースの攻撃を防御するためにエンドポイントのガードと認証情報のチェックだけではもはや十分ではありません。また、AkamaiのAPI Securityを使用することで、組織はあらゆるプラットフォームやゲートウェイでAPIのふるまいを監視し、ビジネスプロセスが円滑かつ安全に機能していることを確認できます」と、述べています。

Forrester Researchは、最近の攻撃を踏まえ、次のようにAPIセキュリティの重要性を指摘しました。「API セキュリティは2023年注目のアプリケーション・セキュリティ・ツールです。APIは2022年に何度かトップニュースに登場しました。たとえば、Optusは980万人の顧客(※4)の個人情報を盗まれ、身代金を要求されましたが、これは認証を求めることなくAPIが公開されていたためでした。被害にあったのはOptusだけではありません。Twitter(※5)、T-Mobile(※6)、そして法執行機関のアプリケーション(※7)までもが、APIの脆弱性によってデータを流出させました。一方で良いニュースもあります。グローバルセキュリティの意思決定者らが、2020年から2022年までの期間にAPIセキュリティの採用が増加し、減速する兆しがないと報告しています。増加したセキュリティ予算は、APIのインベントリとセキュリティ確保(※8)に充てるべきです」（State of Application Security,2023、Forrester Research,Inc.、2023年6月7日）

※4：https://www.protocol.com/bulletins/optus-data-breach-api-security

※5：https://privacy.twitter.com/en/blog/2022/an-issue-affecting-some-anonymous-accounts

※6：https://venturebeat.com/security/twitter-breach-api-attack/

※7：https://www.wired.com/story/sweepwizard-police-raids-data-exposure/

※8：https://www.forrester.com/go?objectid=res142080

API Securityは、Akamaiの既存製品であるApp & API Protector（AAP）(※9)ソリューションを補完するものです。これらを併用することで、最大限に包括的なグローバル防御が実現し、エンタープライズ規模の可視性、APIアクティビティのふるまい分析、攻撃および悪用の防御を結びつけることができます。このジョイント戦略によって、以下のことが可能となります。

●広範なディスカバリー：Akamaiのコンテンツ・デリバリー・ネットワーク上および、それ以外のインフラ上のAPIを把握

●複層型の検知：シグネチャーベースの検知とふるまい検知の両方を利用

●個々の脅威にあわせた対処：インラインでの脅威ブロックや問題箇所の発見と修正を支援

●これらの防御機能すべてを1か所のコントロールセンターから簡単に導入。さらに、OWASP Top 10および、API Security Top10脆弱性の両方のリストに対応し、API脅威ハンティングの専門知識への確実なアクセスを提供

※9：https://www.akamai.com/ja/products/app-and-api-protector

Akamaiについて：
Akamaiはオンラインライフの力となり、守っています。世界中の先進企業がAkamaiを選び、安全なデジタル体験を構築して提供することで、毎日、世界中の人々の生活、仕事、娯楽をサポートしています。超分散型のエッジおよびクラウドプラットフォームであるAkamai Connected Cloudは、アプリと体験をユーザーに近づけ、脅威を遠ざけます。Akamaiのクラウドコンピューティング、セキュリティ、コンテンツデリバリーの各ソリューションの詳細については、akamai.comおよびakamai.com/blogをご覧いただくか、TwitterとLinkedInで Akamai Technologiesをフォローしてください。

※AkamaiとAkamaiロゴは、Akamai Technologies Inc.の商標または登録商標です

※その他、記載されている会社名ならびに組織名は、各社の商標または登録商標です

※本プレスリリースの内容は、個別の事例に基づくものであり、個々の状況により変動しうるものです