API の使用が急速に増加し、企業が新しいアプリケーションや機能を迅速にリリースできるようになりましたが、同時に、顧客とのやり取りとプログラム可能な API インターフェースの両方を、増え続けるさまざまな脅威から保護するという困難な課題も生じています。これらの脅威から保護するには、チームはリクエストを行っているユーザーの ID コンテキストを理解し、それが正当なものか悪意のあるものかを判断する必要があります。
しかし、API セキュリティと不正検出は通常、別々のチームと別々のソリューションで処理される 2 つの別々のジョブであると考えられているため、この重要なコンテキストを取得することは複雑になることがよくあります。この断片的なアプローチは、アイデンティティとセキュリティのリーダーの両方に大きなコストをもたらし、リソースの制約を悪化させ、緩和に要する時間を長引かせ、セキュリティの盲点を生み出します。幸いなことに、これらの脅威に対して統合されたアイデンティティ重視のアプローチを採用するソリューションは、これらの課題を克服する方法を提供します。
このブログでは、アイデンティティとセキュリティのリーダーが、API セキュリティと不正検出におけるアイデンティティ コンテキストの必要性、不正と API ベースの攻撃の重複、そして今日のアプリケーション セキュリティに対する最も差し迫った脅威を軽減するために統合されたアプローチが必要な理由を理解できるよう支援します。
APIセキュリティと不正検出におけるアイデンティティコンテキストの必要性
API セキュリティ シリーズの前回のブログで概説したように、API のセキュリティ保護には、検出の難しさ、高度な攻撃の容易さ、アクセス制御の複雑さなど、多くの課題が伴います。こうした課題に直面して、静的なルール セットに基づく検出に保護を制限する従来の API セキュリティ ソリューションでは、堅牢な API 保護に必要な機能のほんの一部しかカバーできません。
保護を強化し、進化する脅威に直面してもルールが適切であることを保証するために、セキュリティ チームは、ルール セットの更新と、API リクエストが正当なものか不正なものかを評価するのに役立つ他のソリューションからの既知の悪意のある動作に関する情報の相関に常に注意を払う必要があります。
同様に、不正検出ソリューションは、多くの場合、静的なルール セットと個別のポイント ソリューションからの断片化されたリスク シグナルに依存しており、ユーザーが不正であるか正当であるかを評価するために必要な ID コンテキストを取得するには、これらを相関させて標準化する必要があります。この困難なタスクを達成するために、チームは多くの場合、意思決定ロジックを適切に可視化できない複雑なヒューリスティック ルール セットやブラック ボックス AI ソリューションに依存しています。
すべてのアプリケーショントランザクションにわたってユーザーとその現在の行動と過去の行動を分析して相関させる能力がなければ、チームは異常を検出するのに苦労します。
API とエンドユーザーの両方のインタラクションが詐欺につながる可能性があり、新しい攻撃 MO (手口) に対してプロアクティブではなくリアクティブに対応せざるを得なくなります。
また、次のセクションで説明するように、進化するこれらの脅威は、API とエンドユーザーのセキュリティの両方の領域にますます広がっており、詐欺や API 攻撃を軽減するために個別のソリューションと個別のチームを使用している企業にとって課題が生じています。
APIとエンドユーザーセキュリティの重複
API は保護するどころか発見も難しいため、ユーザー アカウントや機密データにアクセスしようとする脅威アクターにとっての侵入口となる脆弱性がしばしば存在します。2022年には、データの宝庫であるAPIの脆弱性が、データ侵害の半数以上の根本的な原因となり、アカウント乗っ取り(ATO)や不正取引に利用できる情報を攻撃者に提供しました。
逆に、多くの API の脆弱性 (いくつかの主要な OWASP 脅威を含む) は、安全でない認証および承認慣行に関連しているため、API リクエスト中の ID 関連のリスク シグナルの検出は、API を保護するための重要な機能となります。その結果、API 攻撃と不正行為を別々に調査して軽減すると、チームがこれらの脅威の根本原因を理解できなくなり、次のセクションで説明する多くの課題が発生します。
マルチソリューション管理の課題
緩和までの時間
詐欺や API 攻撃から保護するために別々のソリューションを採用すると、2 つの異なるチームが協力して軽減に取り組む必要があり、脅威の軽減を迅速に行うために重要な情報の相関関係が妨げられます。
この課題によって軽減までの時間が増加し、セキュリティが弱まる可能性があることを示すために、API とクライアント側のセキュリティの両方にまたがる脅威の 2 つの例を考えてみましょう。
- API エンドポイントの脆弱性: 適切な認証なしでユーザーが口座残高を確認できる脆弱な API エンドポイントが悪用され、顧客のログイン要件を回避して不正なリクエストが行われる可能性があります。API とエンドユーザーのセキュリティに 2 つの別々のソリューションを使用すると、アナリストは不正アクセスを示す API ログを確認し、API インシデントを個別に調査することになり、攻撃者がユーザー アカウントを侵害し続ける間に貴重な時間が無駄になります。
- 安全でない API 認証: 安全でない API がユーザー認証に使用されている場合、攻撃者はこの欠陥を悪用して認証要求を操作し、正当な資格情報なしでユーザー アカウントにアクセスする可能性があります。これらの不正な API アクセス試行と侵害されたユーザー アカウントを関連付けることができなければ、脅威の軽減は断片的な作業となり、エンド ユーザーのセキュリティに重点を置くチームは、緊急の対応が必要な重大な API の脆弱性に気付かなくなります。
さらに、攻撃者が攻撃の規模を拡大し、戦術を進化させることにますます熟練するにつれて、緩和が遅い結果として被る潜在的な損失は壊滅的なものになる可能性があります。
優先順位付け、調査、インシデントの報告の難しさ
上記のように、不正検出と API セキュリティに別々のベンダーを使用すると、リスク シグナルがサイロ化され、関連するインシデント間のつながりが失われ、セキュリティの盲点が生じる可能性があります。こうした盲点は、脅威の軽減を遅らせたり妨げたりするだけでなく、インシデントの優先順位付けを困難にし、厳格な調査と報告を必要とする不正行為を複雑化させます。
さらに、API セキュリティ インシデントにより、脆弱性に関連する不正行為が急増し、不正対策チームに大量のアラートが送られ、最も重大な脅威の優先順位付けと対応が困難になる可能性があります。統合レポートが存在せず、API の脆弱性が可視化されていないと、不正行為アナリストが包括的なインシデントタイムラインを作成できず、将来の攻撃から保護するために必要なインシデント後の分析が妨げられる可能性があります。
人材不足とリソースの制約
テクノロジー業界の人材不足と全般的なコスト削減の必要性により、企業の予算は減少し、セキュリティの脅威を調査して軽減する熟練した専門家も減少しています。この不足は、複数のソリューションを購入し、それらを導入、管理、保守するために専門知識と人手を費やす必要があるチームにとって課題となります。
また、これらのソリューションは通常、不正検出ツールを管理する不正対策チームと API セキュリティ ツールを管理するサイバーセキュリティ チームの 2 つの別々のチームによって所有されているため、不正検出と API セキュリティの両方にまたがるインシデントの調査に重複した作業が発生し、リソースがさらに圧迫されます。
さらに、新しいソリューションごとに、その操作方法について新しいスキルを持ったチーム メンバーにトレーニングを受ける必要があり、リスク シグナルの統合と標準化の複雑さが増します。これには時間と専門知識が必要であり、それらを得るのは困難な場合が多く、チームが新しい脅威や進行中の脅威に対処するために費やすことができるリソースが減少します。
統合によってセキュリティ上の課題を克服する方法
不正検出ソリューションと API セキュリティ ソリューションを統合する ID ファーストのアプローチを採用することで、組織はコンテキストを改善し、チームがセキュリティの盲点を減らし、脆弱性の特定を加速し、新たな脅威に対する必要な保護についての理解を深めるのに役立ちます。
AI ベースのソリューションは、顧客とのやり取りにおける行動パターン、API 経由のデータ転送、API 呼び出しシーケンスを認識し、顧客アカウントと API の両方にアクセスする際の各ユーザーの典型的な行動の異常を検出することで、この重要なコンテキストを提供できます。これにより、疑わしいリクエストをプロアクティブに識別する、より強力なリアルタイム保護が可能になるだけでなく、チームは新たな脅威の根本原因を特定して迅速に対処するために必要な統合された可視性を獲得できるようになります。
これらの機能は、企業がユーザー要求をより適切にコンテキスト化し、リスクと信頼のシグナルに対応できるようにする AI ベースの検出および対応サービスによって支えられている、Transmit Security の顧客 ID セキュリティへのアプローチの基礎となります。
アイデンティティ オーケストレーション機能は、API とエンドユーザーのリスク シグナルの相関関係を可能にし、チームが複数のソリューションからのデータを標準化および調整して、不正検出と API セキュリティ ソリューションの連携を改善し、さまざまなポイント ソリューションのマルチベンダー管理を簡素化するのに役立つため、統合をさらに支援するために使用できます。
このシリーズの最後のブログでは、アイデンティティ ファースト セキュリティに対するこの独自のアプローチがどのように API セキュリティを強化し、企業がそこからどのようなメリットを得られるかを説明します。ぜひご期待ください。
