アプリケーションやAPIを狙う攻撃が巧妙化し、WAFなどの従来の対策だけでは不十分な場面が多々生じている。アプリケーション構造の変化に伴って誕生した新たな脅威に、企業はどう立ち向かうべきか。
企業において、アプリケーションやAPI(アプリケーションプログラミングインタフェース)は事業運営を支える技術であると同時に、サイバー攻撃の主要な標的でもある。セキュリティ責任者は、これらの脅威を特定するだけではなく、絶えず変化する攻撃手法に適応できる強力なセキュリティ対策を講じなければならない。そのためには、アプリケーションとAPIに必要なセキュリティを理解し、企業の防御を固めるための戦略を打ち出す必要がある。どのような課題が存在し、それぞれに対してどのような対策を講じるべきかを解説しよう。
アプリケーションやAPIを標的とする攻撃の手口はますます巧妙化している。サービスの可用性を損なうDDoS(分散型サービス拒否)攻撃からアプリケーションやAPIの脆弱(ぜいじゃく)性を悪用する攻撃まで、その種類は多岐にわたる。システムの脆弱性に起因するものだけではなく、正常な機能の不正利用、アクセス権限の不正取得、Webブラウザやモバイルデバイスなどクライアントでのデータ改ざんといったさまざまな問題が、セキュリティ対策を一層複雑にしている。こうした多様な脅威に対する保護策として、Webアプリケーションファイアウォール(WAF)やAPIゲートウェイといった従来のセキュリティ対策は不十分な場合がある。
モノリシック(巨大な一枚岩的)アーキテクチャから、複数の小規模サービスを組み合わせた「マイクロサービスアーキテクチャ」に移行したり、クラウドサービスやコンテナ技術を導入したりといった変化によって、新たな脆弱性が生まれていることも懸念点だ。企業は既存のセキュリティ戦略を見直し、データを処理する場所の近くでセキュリティ対策を講じなければならない。
これらの課題に対処するため、セキュリティ責任者はさまざまな技術やアプローチを組み合わせた、多層的なセキュリティ戦略を採用する必要がある。具体的には、以下の要素を取り入れるとよい。
開発中の製品やサービスがどのようなセキュリティリスクにさらされているのかを特定して、事前に対策を打ち出す「脅威モデリング」という手法がある。この手法を使って、アプリケーションとAPIが直面する具体的な脅威を特定することが、セキュリティ対策の第一歩だ。このプロセスは、適切なセキュリティ対策の選定や規制の順守を確実にするための指針になる。自社のリスクプロファイル(現在保有しているリスクの種類や量をまとめたもの)を理解することで、セキュリティに関する投資の優先順位を効果的に決定できるようになる。
さまざまな種類の攻撃から自社を保護するためには、以下をはじめとするセキュリティ対策を組み合わせて導入し、バランスの取れた保護を実現することが重要だ。
複数の防御機能が連携する仕組みによって広範な脅威に対処すると同時に、特定の脅威に対しては専用のツールを用いる。このようなセキュリティ体制は、状況に応じて必要な対策を講じやすく、事業規模の拡大にも追随可能だ。
一般向けに公開されるアプリケーションやサービスには、クラウドサービスを優先的に採用する「クラウドファースト」のセキュリティ戦略を据える。クラウドサービス型のセキュリティツールは、現代のアプリケーション保護に不可欠な拡張性、適応力、高度な分析機能を提供する。ただし、社内でホストされているアプリケーションを保護する場合や、規制上の制約でクラウドサービスの利用に制限がある場合には、オンプレミスツール視野に入れる。
あらゆる攻撃ベクトル(攻撃の手段や経路)から保護できるよう、複数の防御層を重ねるようにセキュリティを設計することが重要だ。具体的には、境界防御やワークロード保護、クライアントのセキュリティ対策といった、異なる場所に適切な防御策を配置する。セキュリティ機能をシステムのさまざまな場所に配置しておくことで、新たな脅威が出現した際にも、被害の広がりを防ぐとともに、システム全体を大きく修正することなく、部分的な修正で対処できるようになる。
新たな脅威に先手を打つために、継続的なシステム監視体制と、脅威インテリジェンスを導入する。これによって、高度な分析機能や機械学習を活用して、異常をリアルタイムで検出、対処する仕組みが整う。最新の脅威インテリジェンスをセキュリティ対策やセキュリティポリシーに反映することで、最新の情報が取り入れられ、保護体制を強化できる。
適切な保護を実現するため、セキュリティ責任者は自社のリスクプロファイルやニーズに合致したセキュリティ技術を慎重に選定し、導入することが不可欠だ。検討対象になる主な技術を以下に挙げる。
クライアントとサービス間のAPIを利用するリクエストを制御する仕組み「APIゲートウェイ」や脅威保護ツールを利用して、APIを介する通信を保護し、不正利用を防止する。APIに対する脅威を効果的に特定、軽減するには、APIを介する通信を常時監視し、正常な状態を自動で学習する「自動プロファイリング」機能と異常検出機能が役に立つ。
大量のトラフィックを送り付ける攻撃(ボリューム型攻撃)、Webサーバやデータベースなどの処理能力を使い果たさせる攻撃の両方に対処できる、強力なDDoS保護製品を導入する。1つ目の攻撃にはクラウドサービス型スクラビングセンターを、アプリケーション層の保護にはDoS対策機能を持つWAF(Webアプリケーションファイアウォール)の利用を検討する。スクラビングセンターとは、通信を精査して悪質な通信のみを除去する拠点を指す。
不正なbotへの対策ツールや行動分析ツールを導入し、機能の不正利用や詐欺を検出、抑止する。これらのツールは、正規のエンドユーザーと悪意のあるbotを区別し、自動化された攻撃に対する高度な保護を提供する。
アプリケーションやAPIとIAMを連携させ、動的な認可ポリシーを利用したアクセス制御を強化する。アプリケーションやAPIへのログイン成功時にIAMが発行する認証トークンを検証して、アプリケーションとAPIの両方の領域でアクセス権限が適切であることを徹底する。
アプリケーションシールディングや、スクリプト(簡易プログラム)言語「JavaScript」で記述されたスクリプトからの保護技術を用いて、クライアントでのプログラム改ざんや不正プログラムの挿入からクライアントを保護する。これらの対策は、Webアプリケーションに不正スクリプトを仕込んで情報を抜き取るようなクライアントサイドの攻撃を防ぎ、データ保護規制の順守を確実にする上で重要だ。
現代において、アプリケーションとAPIの保護を実現するには、ある程度複雑なセキュリティ構造が必要になる。本稿で紹介した先進技術と継続的な監視を組み合わせて、広範囲かつ多層的なセキュリティを構築することで、セキュリティ責任者はリスクを効果的に軽減し、自社のデジタル資産を守ることができる。脅威インテリジェンスと、脅威に応じて防御策を変えるアダプティブ(適応型)制御を活用して、攻撃者の先手を取ることが、進化し続ける脅威に対するアプリケーションとAPIのレジリエンス(回復力)を確保するための有効策だ。
TechTarget.AI編集部は生成AIなどのサービスを利用し、米国Informa TechTargetの記事を翻訳して国内向けにお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
