Skip to content

課題

アプリケーションには、セキュリティ要件の異なる2種類のAPIがあり、包括的な防御の精度は、実行中のコードから提供されるコンテキストに関係。

リモートAPI

リモートAPIはサービスを公開し、アプリケーションがブラウザやモバイルデバイス等の他のシステムと連携することが出来ます。

直面するリスク:

  • 認証
  • 承認
  • 認証
  • クロスサイトスクリプティング(XSS)
  • APIの悪用

コードAPI

コードAPIはリモートAPIに権限を与え、アプリケーションがデータを収集し、入ってくるリクエストに応答することを可能にします。

直面するリスク:

  • インジェクション攻撃
  • 承認(誰か又は何かが要求されたことを実行できるか?)
  • デシリアライズ
  • 機密データとロギング
  • 既知の脆弱性を持つコンポーネント

API の開発と提供のサイクル全体にわたり、 API セキュリティに対する継続的なアプローチを採用し、セキュリティを設計します。
APIセキュリティテストと、再利用可能な API セキュリティポリシーの作成と適用が含まれます。”

 

Gartner®, 「API Security: What You Need to Do to Protect Your APIs」、マーク・オニール他、2021年3月1日再更新、2019年8月28日発行。

APIセキュリティの課題は、殆どのソフトウェアエンジニアのリーダーにとって最大の懸念事項となっています。管理、保護されていないAPIは、数百万ドルの損害となるセキュリティインシデントが生じ得る脆弱性を生み出します。 ” 

Gartner®, 「Predicts 2022: APIs Demand Improved Security and Management」、シャミーン・ピライ他、 2021年12月6日発行。GARTNERは、米国および海外におけるGartner, Inc.および/またはその関連会社の登録商標およびサービスマークであり、本書では許可を得て使用しています。無断転載禁止。

 

 

 

ContrastセキュアコードプラットフォームがDevSecOpsのために構築されている理由をご覧ください。

Contrastソリューション

全てのアプリケーションの原動力となるコードAPIを保護。

コードAPIのセキュリティ監視

カスタムコード、ライブラリコード、サードパーティコードを理解

誤ったアラートを減らすためにコードを活用し、より高度な防御の為にアプリケーションを拡張。コードAPIを監視することで、Contrastは専用のセキュリティテストを行うことなく、通常の使用やテストを通じてアプリケーションのカスタム脆弱性を検出。

自動化を活用して、コードセキュリティがAPIに与える影響を把握。1つのエージェントで、既知のCVEに対する脆弱なライブラリを特定することが出来、「安全な」コードが安全でない方法でまとめられることを回避。

Asset 2-Feb-24-2021-09-31-03-33-AM-1

ゼロデイ攻撃を阻止

オープンな脆弱性からの防御

Contrastは、コードの脆弱性を保護。Contrastのランタイムコンテキストとソフトウェアコンポジション解析(SCA)により、真に悪用可能な攻撃かを区別し、高精度でブロック。

ゼロデイ攻撃の場合、Contrastはパッチやアップデートを行わずにAPIに対する攻撃をブロック。

Log4jへの攻撃をContrastが保護した方法をご覧ください。

詳細へ

Asset 3-4-1

​​APIを保護する方法についてお問い合わせ下さい

Contrastを活用し、どのようにAPIをテストし保護出来るのかについて、お問い合わせ下さい。