「API」を保護する最適なセキュリティ運用
こんにちは、マジセミ寺田です。
いつもマジセミにご参加いただきありがとうございます!
今回は、『「API」を保護する最適なセキュリティ運用』というテーマについて解説するセミナーを企画しました。
2024年11月28日(木)10:00 - 11:00
API利用拡大でセキュリティ・リスクがさらに増大したWebアプリケーション
インターネットやモバイルデバイスの普及、クラウドの利用拡大、デジタル・トランスフォーメーション(DX)の推進などを背景に、企業のビジネスや日常生活において多くのユーザーがWebアプリケーションを利用しています。その重要性が高まる一方で、サイバー犯罪者にとって魅力的な攻撃対象と見なされるようになりました。
実際、Webアプリケーションの脆弱性を狙うサイバー攻撃は多様化し、セキュリティ・リスクは数多く存在します。
近年は、ソフトウェアやサービスを連携させるAPIの活用が広がり、システム間のデータの共有や機能の統合が容易になりました。ただ、APIはデータを直接操作するエンドポイントであることが多く、強力な権限を持つため、攻撃者が最も好むエンドポイントとなっています。
そうしたAPIに起因する脆弱性やプライバシーリスクが発生する可能性が高まり、サイバー攻撃などのセキュリティ脅威にさらされています。その結果、Webアプリケーション/APIに対する、より一層強固なセキュリティ対策が求められるようになりました。
「セキュリティ対策製品を導入して終了」は危険、疎かになりがちなセキュリティ運用の現実
Webアプリケーションのセキュリティ対策としては「Webアプリケーションファイアウォール(WAF)」や「侵入検知システム(IDS)/侵入防止システム(IPS)」、「Webアプリケーション脆弱性診断」などが従来から導入されてきました。また、APIエンドポイントを保護する「APIセキュリティ」ソリューションも市場に登場しています。
ただ、そうした製品・サービスを導入した企業・組織のセキュリティ運用の現場では、各対策機器から出される膨大な量のログ分析・管理が難しいこともあり、その運用が疎かになってしまうのが現実です。
実際、F5ネットワークスの調査によると「組織の85%が複数のアーキテクチャにわたって最新のアプリと従来のアプリを運用しているため、アーキテクチャの複雑さやAPIの無秩序な広がり、一貫性のないセキュリティ体制に苦しんでいる」ことが明らかとなっています。
また、初期導入や運用におけるコストを考慮して導入に二の足を踏んでいるケースも見受けれます。
WAAP活用のベストプラクティスと「OWASP API Security Top 10」を踏まえたAPIセキュリティ対策の始め方を解説
今後、マルチクラウド環境への移行が進むにつれ、WebアプリケーションとAPIに対するセキュリティ脅威は増すと予想されます。どのようにセキュリティ強化を図っていけばよいのでしょうか。
本セミナーでは、WebアプリケーションとAPIを包括的に保護するソリューションとして注目されている「WAAP(Web Application and API Protection)」を有効活用するためのベストプラクティスを紹介。また、APIにおける10大セキュリティ懸念事項「OWASP API Security Top 10」を踏まえ、さらなる強化が求められるAPIセキュリティの始め方を解説します。
さらに、アプリケーション開発の初期段階からセキュリティを組み込むアプローチである「シフトレフト・セキュリティ」を実現する具体的なソリューションもご紹介します。「セキュリティ運用を簡素化したい」「組織全体のセキュリティポリシーを統一したい」「現状のAPI対策は大丈夫なのか不安」「組織全体でセキュリティを強化するために必要なことを知りたい」というDevOpsSec関連部門の方は、ぜひご参加ください。
開催企業
■主催
F5ネットワークスジャパン合同会社
■共催
NECネッツエスアイ株式会社
■協力
株式会社オープンソース活用研究所
マジセミ株式会社
★ここでしか聞けない内容です!★
2024年11月28日(木)10:00 - 11:00
Youtubeで過去開催したセミナーの動画が視聴できます。チャンネル登録お願いします!