Akamai Diversity

Akamai Japan ブログ

Akamai による API セキュリティの最大化

昨今注目が集まっているAPI(Application Programming Interface)、そのアクセス方式自体は以前から利用されているテクノロジーですが、近年の IoT、デジタライゼーション、デジタルトランスフォーメーションという市場の波を受けて、Open API という新たな取り組みが急速に発展・利用されるようになり、企業のビジネス・IT双方の担当者の中でも非常に重要なトピックとなっております。

Open API は企業に対して新しい革新的なビジネスモデルを創造する力を提供しますが、同時にインターネット上にAPIを広く公開することに伴い、脅威に対して新たな脆弱性のポイントを提供し、攻撃を増加させる可能性があります。APIに対しての適切な保護を怠ると「正当なユーザーによる意図しない誤用」、「ダウンタイムや悪意のある攻撃にさらされる可能性」が生じると言えます。よって、これらの悪意のある攻撃や悪用シナリオに対する備えが、APIセキュリティアーキテクチャの一部として備わっている必要があります。

Akamai では Open API を適切に保護する目的として、大きく2つの強力なソリューションを提供しております。

  • Akamai API Gateway: 正当なAPIコンシューマの検証とAPIへのガバナンスの追加
  • Akamai Kona Site Defender(API Protection 等) / Bot Manager: 悪意のあるトラフィックから APIエンドポイントを保護

AkamaiJapanBlog_API_Security_Overview_01.png

これらのソリューションは連携して API 用の包括的なセキュリティーアーキテクチャ構築に役立てることが可能です。以降、5つのユースケースを通して各ソリューションによるAPI保護方法を説明させていただきます。

ユースケース1: APIの認証(Authentication)

不正なコンシューマからのAPIアクセスの保護(コンシューマの認証)

Akamai Solution: API Gateway

API Gateway により、 API キーを使用してコンシューマを認証することが可能です。APIキーは、各APIコンシューマを一意に識別させる為に、 API Gateway によって生成される一意の文字列です。Akamai API Gateway が稼働する Akamai Edge Server は、このキーベースの認証方法を使用して、適切なキーを持たない要求を拒否し、不正なコンシューマがAPIにアクセスすることを防ぎます。

ユースケース2: APIの認可(Authorization)

許可のないコンシューマに対してのAPIアクセスの保護(正規コンシューマからのアクセスの認可)

Akamai Solution: API Gateway

API Gateway では、JWT(JSON Web Token)を使用して認可(Authorization)を実行することが可能であり、APIコンシューマのアクセスを制御できます。認可に対してJWT方式を用いるメリットとしては、1. 認証と認可を分離した分散認証が可能となること 2. JWTの暗号検証方式は他の方式(識別子ベースのアクセストークンを用いた検証方式など)と比較して、はるかに高速に実行できるという2点になります。

ユースケース3: クォータ管理

コンシューマからのAPI利用量の管理(例:プラチナパートナーには無制限のアクセス権を提供し、シルバーパートナーには1週間で1,000リクエストまでのアクセスを許可、など)

Akamai Solution: API Gateway

API Gateway では、APIキーで許可されるAPIリクエスト数を簡単に定義できる為、ビジネスに連動させた上記の例のようなSLAを強化することが可能です。各APIキーのクォータ(利用量)は独立して定義され、その消費を制御することが可能です。

ユースケース4: 不正リクエストへの対応

攻撃者からの情報漏洩 / 破壊につながる不正リクエストに対する保護

Akamai Solution: Kona Site Defender(API Protection / Client Reputation)/ Bot Manager

Kona Site Defender では、リクエストがAPIの定義を満たしているかどうかをチェックし、定義を満たしている場合のみリクエストを通過させる API Protection 機能が提供されます。APIのエンドポイント毎に、メソッドレベル、インプットパラメータレベル、パラメータの値レベルのチェックを段階的に定義、防御することが可能です。B2B2Cモデルでの Open API の活用時など、不特定多数にAPIのエンドポイントへのアクセスを許容しなければならないケースなどでは特に有効な保護機能となります。

また、アクセス元についてアカマイの脅威インテリジェンスをビッグデータで可視化する Client Reputation機能、アクセス元を可視化・カテゴライズし、アクセスに対しての対応のハンドリングをコントロールできる Bot Manager を活用することにより、不正リクエスト対応をより強固にすることが可能です。

ユースケース5: DDoS攻撃への対応

攻撃者からのAPIインフラストラクチャのダウンを狙ったDDoS攻撃に対する保護

Akamai Solution: Kona Site Defender (API Protection

Akamai Edge Server で構成される Akamai Intelligent Platform は、その「超大規模分散」という特性から DDoS攻撃に対して非常に強い耐性を持っております。また、IPベースのレートコントロール機能に加え、APIキーベースのレートコントロールを利用することにより、悪意のあるトラフィックからAPIエンドポイントを保護することが可能です。

まとめ

これまで5つのユースケースを通して、Akamai Kona Site Defender と Akamai API Gateway がどのようにAPIの包括的なセキュリティアーキテクチャ構築へ貢献できるかを紹介いたしました。より具体的な製品の説明について、既に本ブログの別投稿にてなされている分については、各製品・機能の説明に対してリンクを貼っておりますので、リンク先でご確認いただくことが可能となっております。

また、本稿は 2018.5.31 に執筆された The Akamai Blog の記事をベースに翻訳・加筆を行っております。ベースの記事にも有益な情報先が多数リンクされておりますので、是非、ご参照いただけますと幸いです。

最後に Akamai Kona Site Defender と Akamai API Gateway は独立して個別に導入いただくことも可能です。よって、現在 API Gateway 導入をご検討されている方に対しても、既にAPI Gateway は導入済みだがより適切なAPIセキュリティ構築をご検討されている方に対してもご検討いただける製品です。脅威が増すサイバーセキュリティ領域の中で、APIという観点でも弊社のソリューションが皆様のIT、及びビジネスに対する一助となれますと誠に幸いです。

Leave a comment