複雑な意思決定においては、画一的なアプローチが効果的であることはほとんどありません。そして、デジタル セキュリティの分野ほどこのことが顕著に表れる場所はありません。アプリケーションとユーザーはそれぞれ固有であり、脅威のパターンは常に進化しているため、それぞれの処理方法を決定するには、リクエスト間で動作がなぜどのように異なるのかを深く理解する必要があります。
この変化する状況で不正行為を検出するには、セキュリティに対する動的なアプローチが必要であることは明らかですが、 API セキュリティと不正行為検出の融合が進んでいるにもかかわらず、API セキュリティ ソリューションはリスク シグナルを評価する際に同じ ID コンテキストを考慮していないことがよくあります。
このブログでは、アイデンティティ ファースト アプローチへの移行によって API セキュリティがどのように向上するかを詳しく説明し、このアプローチで使用される主な検出機能の概要を示し、オーケストレーションによってリスク シグナルを活用して意思決定を改善し、検出を最適化する方法について説明します。
API セキュリティ: インフラストラクチャ中心からユーザー中心のアプローチへ
従来、API セキュリティはインフラストラクチャ中心でした。この方法では、ファイアウォール、侵入検知システム、および暗号化を使用し、一連の静的ルールをすべてのアクセス要求に均一に適用します。アクセス要求がこれらの基準を満たすと、信頼が拡張されます。
しかし、デジタル信頼は静的なものではありません。API が進化し、ユーザーが変化するにつれて、次の理由により、各リクエストに関連するリスクを継続的に評価する必要があります。
- API の脆弱性とインジェクションは、保護を回避し検出を回避するために常に適応する新たな攻撃手法により、時間の経過とともに変化します。
- 不正アクセス(上位レベルのメンバーシップへのアップグレードなど)を回避するために権限の変更が必要となる不正アクセス
- 侵害されたユーザーIDにより、攻撃者はAPIリクエストの承認と認証を回避できる
- アカウント乗っ取りにより、詐欺師はユーザージャーニー全体にわたって API にアクセスできるようになります。
- データ侵害、トランザクション操作、悪意のあるコードの挿入を可能にする、古くなった、または侵害された API
また、生成 AI と組織的な詐欺により、攻撃者が高度な攻撃を仕掛けることが容易になるにつれて、静的検出はさらに急速に時代遅れになり、チームがセキュリティ ルールの更新を急いでいる間に API が脆弱なままになります。
アイデンティティコンテキストにより継続的なリスク評価が可能
アイデンティティファーストのセキュリティは、静的なセキュリティ対策を、ユーザーの行動を継続的に監視して疑わしいパターンや異常なパターンを特定する動的な脅威検出アプローチに置き換えます。API を保護するために、アイデンティティ コンテキストを使用して、個々のユーザーの過去の行動と特定の API の全体的な使用パターンに基づいて、どの API が使用されているか、誰がリクエストを行っているかを把握できます。
このユーザー中心のアプローチは、脅威を示唆する可能性のあるリクエストの異常を検出する不正検出ソリューションでも使用されます。例えば:
- フィッシング攻撃、 詐欺師がユーザーのアカウントにアクセスできるようになる 攻撃者が管理する Web サイトに認証情報を入力させるような不正なアクセスは、IP レピュテーション、行動バイオメトリクス、デバイス フィンガープリンティングによって検出できます。
- デバイスの乗っ取りは、詐欺師がデバイスをリモート制御してデバイス所有者を装うものであり、マウスの動きを分析し、リモート デスクトップ接続を使用してアクションが実行されたかどうかを確認することで検出できます。
- APP 詐欺(詐欺師が信頼できる連絡先になりすましてユーザーに不正な取引を承認させる) は、取引中のユーザーの行動の異常を検出することで検出できます。
ただし、アカウントアクティビティのリスクのみを評価する検出ツールでは、壊れた、脆弱な、または古い API を利用してユーザーアカウントに不正にアクセスする攻撃の根本原因を検出できません。詐欺を可能にする攻撃 MO の全体像を把握し、脅威が発生したらすぐに検出するには、同じ ID コンテキストを API セキュリティに適用してこれらのソリューションを拡張する必要があります。
アイデンティティファーストのリスク判断のための検出コンテキスト
API 保護に対する ID ファーストのアプローチでは、次のような疑わしい動作を検出するために、さまざまなシグナルを継続的に評価する必要があります。
- 時系列分析では、タイムスタンプ付きのデータ ポイントを分析して、IP、デバイス、クライアント バインディング、異常な使用パターンなど、時間の経過に伴う API リクエストの変化を正確に特定します。
- ネットワーク/IP、 ユーザーの典型的な地理的位置、IP、ネットワークと一致しないアクセス要求、既知の不正なIPや不可能な移動などのグローバルリスクシグナルなど
- ボット検出、たとえば、クレデンシャルスタッフィングを示唆する高速認証要求、OpenBullet などの自動化フレームワークの使用、TCP/IP フィンガープリントを通じて推測されるマシンの OS に関する情報など。
- 資格情報、エンドポイント、アクティブなユーザー セッション、リクエストの本文とヘッダーなどのリクエスト レベルのデータ。
特にユーザーごとに行動が変化する場合は、単一のリスクシグナルまたは検出フレームワークでは、リスクを強く示すのに十分なコンテキストが提供されることはほとんどありません。全体像を把握するために、AIベースの検出モデルは高度なアルゴリズムを活用してこれらのリスク信号を統合し、リスクの統一計算を行います。 悪意のある動作の定義済みパターンにリクエストが適合するかどうかを評価する静的なインフラストラクチャ中心のルールではなく、特定のユーザーのリクエストの異常に基づきます。
これにより、AI ベースのユーザー中心の検出方法により、人間のアナリストが独自に見つけることができるよりも少ない誤検知と最新の保護が提供され、変化する攻撃方法に適応するより堅牢なソリューションが提供されます。API と顧客アカウントの両方とのやり取りにおける過去のユーザー行動に基づいて異常を検出することで、企業はリスクの統一された計算を取得し、リアルタイムのアクション トリガーを通じてリクエストをブロック、チャレンジ、許可、または信頼するために活用できます。
ただし、これらのリアルタイム検出モデルの有効性を確保するには、リアルタイムで評価するには大きすぎるデータセットのバッチ分析も必要になる場合があります。このオフライン分析により、時間の経過に伴って発生する傾向を検出し、IP およびデバイスのプロファイリングが可能になり、クライアント バインディングの異常を正確に特定できるようになります。さらに、大規模なデータセットで検出された異常をリンク分析ツールに取り込むことで、頻繁に再利用される IP など、ユーザー間の疑わしい接続を視覚化できます。
オフライン分析ツールは、リアルタイム検出モデルにフィードバックを提供する人間の専門家を支援することで、リアルタイム検出を補完します。これらの専門家は、調査の文書化やセキュリティ制御の更新など、アプリケーションを標的とする大規模なキャンペーンやその他の脅威を阻止するためのさまざまな重要なタスクも実行します。これらのタスクを実行するには、AI ベースのシステム内でリスクがどのように計算されるかを理解できなければなりません。これはモデルの説明可能性と呼ばれるタスクです。
アイデンティティオーケストレーションの重要な役割
API リクエスト中にユーザーのリスク レベル、権限、または認証に影響を与える異常や変更にリアルタイムで対応するには、アイデンティティ ファーストのセキュリティ ソリューションにもう 1 つの重要なコンポーネント、つまりアイデンティティ オーケストレーションが必要です。
オーケストレーションにより、チームが統合ソリューションまたは複数のサードパーティ ツールのどちらを使用しているかに関係なく、API セキュリティを不正検出で補完できるようになります。これにより、リスク決定に影響を与えるさまざまな ID データ ソースを、各ユーザーのアプリケーションとのやり取りを 360 度ビューで表示する単一のリスク エンジンを使用して組み合わせることができます。
オーケストレーションでは、複雑なコードを使用してこれらのデータ ソースを組み合わせるのではなく、ノーコードまたはローコードのツールを使用して、さまざまなデータ ソースとソリューションが意思決定に影響を与える方法とタイミングを微調整できます。これらの同じツールは、特定のリスク指標に応じてより強力な認証や ID 証明など、ID セキュリティ サービスで自動応答をトリガーするユーザー ジャーニーの構築プロセスも簡素化します。
たとえば、企業はオーケストレーションを使用して次のことを行うことができます。
- ユーザーの行動や認証手法に異常や大きな変更が検出された場合に、アクセス権限を瞬時に調整します。
- 機密性の高い API へのアクセスを許可する前に、認識されたリスクに基づいてユーザーに追加の認証手順を要求します。
- ユーザー アカウントと API リクエストからのリスク シグナルを標準化し、不正検出と API セキュリティの相乗効果を高めます。
結論
オンライン アカウントをエンドツーエンドで保護するには、対抗する脅威と同じくらい動的かつ進化するセキュリティ対策が必要です。ID コンテキストを通じて信頼性を継続的に評価する、API セキュリティに対する AI ベースのユーザー中心のアプローチは、強化された最新の API 保護を提供できるだけでなく、同じリスク シグナルを活用して顧客ライフサイクルを保護する不正検出システムの有効性も向上させます。
Transmit Security の AI ベースの検出機能は、数百の検出方法を分析して各エンドユーザーの固有のプロファイルを構築し、異常を検出してリスク信号に対応するためのすぐに使用できる推奨事項を提供するために使用されます。モデルの説明可能性により、各推奨事項の主な理由についての洞察が得られ、業界をリードするオーケストレーションにより、チームはさまざまなデータ ソースからのリスク シグナルを標準化して意思決定を最適化し、ローコードおよびノーコード ツールを使用してユーザー ジャーニーをカスタマイズできます。
企業は、API セキュリティに同じ機能を活用することで、アプリケーションの脅威と脆弱性をより包括的に理解し、API とエンドユーザー アカウントの両方に対するさまざまな攻撃への対応を効率化できます。Transmit Security による API セキュリティと不正検出の詳細については、営業担当にお問い合わせください。
