API セキュリティは、サンプリングされたユーザーのアクセスログおよび組み込みの機械学習モデルを活用して、お客様の Web サイト向け API を管理・保護する機能です。システムは、ポイント・オブ・プレゼンス(POPs)へのリクエストを自動的にスキャンし、潜在的な脅威を検出します。また、監視および分析のための API 管理ポータルを提供します。
API セキュリティ機能を有効化するには、アカウントマネージャーまでお問い合わせください。
概要
機能 | 概要 |
データ漏洩やサービス中断などの脅威から、未知または非推奨の API を守るため、Edge Security Acceleration (ESA) の API セキュリティ機能をご利用ください。この機能は機械学習を活用して、お客様のサイトのサービストラフィックを継続的に分析します。API エンドポイントを自動的に検出し、API の一元管理および機密データの漏洩、API の悪用といった課題の特定を支援します。 | |
ESA は、お客様が管理する API をモニターすることで、そのパフォーマンスおよびセキュリティ状態を把握できるように支援します。また、過剰なトラフィックから API を保護するためのレート制限に関する推奨事項も提供し、全体的なセキュリティを強化します。 | |
API スキーマ(例:OpenAPI 仕様)をアップロードすると、システムが自動的にこれをお客様が管理する API にマップします。その後、受信したリクエストをこのスキーマに対して検証し、準拠していないトラフィックには設定済みのセキュリティポリシーを適用します。 | |
JSON Web Token(JWT)検証ポリシーを設定し、それをお客様が管理する API に適用することで、API トークン検証ルールを作成します。ESA は、これらのトークンに基づいて受信リクエストを検証し、ビジネス API を保護します。 | |
API セキュリティの設定により、セッション識別子、スキーマ検証設定、および トークン設定 を一元管理できます。 |
パフォーマンスへの影響
ESA の API セキュリティ分析は、ポイント・オブ・プレゼンス(POPs)において受動的に行われるため、パフォーマンスへの影響は極めて小さいです。テスト結果によると、API の検出およびモニタリング、あるいはアーキテクチャ準拠性検証やトークン検証などのブロッキング機能を有効化した場合でも、レイテンシの増加はミリ秒単位に留まり、ユーザーにはほとんど感知されません。
ユースケース
API 資産の整理と未知リスクの発見
ビジネスの迅速なイテレーションに伴い、開発者がセキュリティチームに速やかに報告しないまま API 操作をリリースすることがあります。こうした API はセキュリティ制御システムの外で稼働し、攻撃の入り口となる可能性があります。
推奨機能: API の検出
API の検出機能を有効化すると、ESA は、自身を経由するすべての API 宛先を自動的に学習・レンダリングします。セキュリティ管理者は、このチェックリストを定期的に確認し、新たに検出された未知の API を管理対象に追加したり、開発チームと確認のうえ非推奨としてマークしたりできます。これにより、API 資産の完全な可視化が実現され、セキュリティ上の盲点が解消されます。
エッジで準拠していない API リクエストをブロック
一般公開向けのビジネス API では、攻撃者が事前に定義されたフォーマットに準拠しない不正なリクエストを多数送信し、システムを探索・攻撃するケースが多く見られます。これは、オリジンサーバーの貴重な計算リソースを消費するだけでなく、未知の脆弱性をトリガーする可能性もあります。
推奨機能: API アーキテクチャ準拠性検証
コアビジネス API に対応する OpenAPI 仕様ファイルをアップロードしてください。ESA はこれを基に、ポイント・オブ・プレゼンス(POPs)において各受信リクエストの構造およびパラメーターについて準拠性検証を実行します。準拠していないリクエストは、オリジンサーバーに到達する前にブロックまたは記録されます。これにより、インジェクション攻撃やファジーテストなどの攻撃を効果的に防御し、コアビジネスの安定性およびセキュリティを確保できます。
モバイルおよび Web アプリケーションの API を保護する
フロントエンドとバックエンドが分離されたアーキテクチャでは、モバイルアプリやシングルページアプリケーション(SPA)が通常、API を呼び出してバックエンドサービスと通信します。これらの API が正当なクライアントからのみ呼び出されることを保証することは、セキュリティシステム設計において極めて重要な要素です。
推奨機能: API トークン準拠性検証
API に対してトークン準拠性検証ルールを設定し、すべてのクライアントがリクエスト時に有効な JSON Web トークン(JWT)を付与することを要求します。ESA は、ポイント・オブ・プレゼンス(POPs)において JWT の署名検証や有効期限(TTL)チェックなど、一連の検証処理を実行します。検証を通過した正当なリクエストのみがオリジンサーバーに転送されます。これにより、API に対する不正アクセスやリプレイ攻撃を効果的に防止できます。
プラン対応状況
カテゴリ | 機能 | Entrance(0 USD/月) | Pro(15 USD/月) | Premium(249 USD/月) | Enterprise(カスタム価格については営業担当までお問い合わせください) |
API セキュリティ機能 | 全機能対応 | ||||
管理対象 API 数 | 100 | ||||
セッション識別子数 | 10 | ||||
スキーマファイル数 | 5 | ||||
JWT トークン数 | 5 | ||||
API ルール数 | 10 |