API ディスカバリとは何ですか?

API検出は、企業がAPIフットプリントをマッピングするのに役立ちます。これは、API が企業内でどのように使用されているか、データ侵害やその他の潜在的なサイバー攻撃から API を保護するために何を行う必要があるかを理解するために不可欠です。

eブックをダウンロード(英語) デモをリクエストする

API ディスカバリが重要な理由

API (アプリケーション プログラミング インターフェイス) は、組織とその顧客の両方にとって強力なツールです。その役割は次のとおりです。

直接的なインタラクション

API を使用すると、他のプログラムが直接対話できるようになります。

  • プログラムはデータを要求したり、機能を実行したりできる
  • これは、彼らのために特別に設計されたインターフェースを使用して行われます
  • これにより、人間のために設計されたWebページとの対話を回避できます

APIの使用を最適化する

継続的な API 検出は、API の使用を最適化するために不可欠です。 これが重要である理由は次のとおりです。

  1. 強化された統合、ガバナンス、およびドキュメント:
    • 組織の API に関する知識があれば、次のことが可能になります。
      • 異なるシステム間の統合性の向上
      • API使用のガバナンスの改善
      • より明確で最新のAPIドキュメント
  2. 改善 アプリケーション セキュリティ コンプライアンス:
    • API によってセキュリティ上の脆弱性が生じる可能性があります。
    • API 検出は、次の理由でこれらの脆弱性を特定して対処するのに役立ちます。
      • 存在を知らない API を保護することはできません。
      • システムがどの API に依存しているかがわからないと、稼働時間とデータのセキュリティを確保することはできません。
    • 効果的な API 検出は、組織のAPI セキュリティプログラムの重要な部分です。
    • これは、OWASP Top Tenにリストされているものを含む一般的なWebセキュリティの脅威から保護するのに役立ちます。

APIディスカバリーの役割

API 検出ツールと検出プロセスは、次の重要な役割を提供します。

  • サービス検出: API検出ツールは、組織とそのシステムで使用されるすべての API を識別できます。 組織のAPI使用状況をマッピングすることで、 APIセキュリティは潜在的な冗長性を特定し、脆弱性やその他のセキュリティ リスクを検出し、組織が利用可能な API を最大限に活用できるようにするのに役立ちます。
  • APIドキュメント: API は、特に組織が正式に認識していない場合、十分にドキュメント化されていないことがよくあります。 API 検出は、API の機能、API がホストするエンドポイント、ユーザーが実行できるリクエストの例、API からの標準応答などを記録するなど、ドキュメント作成作業をサポートするために使用する必要があります。
  • 強化された統合: API は、データを要求し、文書化された形式で応答を受信する手段を提供することで、さまざまなプログラムとシステム間の統合を可能にするように設計されています。 ただし、企業が利用できるのは、存在がわかっている API のみです。 API 検出は、組織が既存の接続をマッピングし、新しい接続を作成して利用可能な機能を最大限に活用するのに役立ちます。

API検出を実行する方法

API 検出はいくつかの方法で実行できます。 手動プロセスに加えて、プロセスを迅速化するためのツールもあります。

組織は、ネットワーク トラフィックを監視したり、ネットワークをスキャンしたりすることで、手動で API 検出を実行できます。 ネットワーク トラフィックを検査すると、API トラフィック内に存在する要求と応答に基づいて、アクティブな API 接続と使用状況を識別するのに役立ちます。

また、エンドポイントをスキャンして、リクエストに応答するシステムを探し、その機能をマッピングすることもできます。

企業は API 検出の自動化ツールを活用することもできます。これにより、プロセスが大幅に迅速化されます。 これらのツールは、スタンドアロンの製品として利用できる場合もあれば、セキュリティアプライアンスに統合されたものも用意されています。

このように統合されたAPIディスカバリを使用すると、組織の Web アプリケーション ファイアウォール (WAF) やWeb アプリケーションとAPI保護 (WAAP ) ソリューションなどの Web セキュリティ ソリューションがさまざまなAPIエンドポイントの機能を認識し、組織全体のセキュリティが強化されます。潜在的な悪用から適切に保護します。

CloudGuard WAF による API 検出

API は、オンプレミスとクラウドの両方で、多くの組織の IT インフラストラクチャの重要なコンポーネントとなっています。 API は貴重なデータや機能へのアクセスを提供し、マイクロサービスと他のソフトウェア アプリケーションを接続するためによく使用されます。 ただし、企業が自社のAPIフットプリント全体を把握していない場合、API を最大限に活用できず、サイバー攻撃の危険にさらされる可能性があります。

APIチェック・ポイントのCloudGuard WAFには ディスカバリが組み込まれています。CloudGuard WAF — CloudGuard WAFのコンポーネントであるチェック・ポイントのアプリケーション セキュリティ ツール スイート — を使用すると、組織は単一のソリューションで API を見つけて保護できます。

CloudGuard WAF とチェック・ポイントのクラウド AppSec ソリューションのフルスイートの詳細については、このホワイトペーパーを参照してください。 CloudGuard WAF の動作を確認し、組織の API の可視性とセキュリティを強化する方法を確認するには、無料の CloudGuard WAF デモにサインアップしてください

スタート

CloudGuard WAF

CloudGuard WAF ソリューション概要 

Cloud Application Workload Protection Ebook

統合クラウドセキュリティ

関連トピック

Web application and API protection (WAAP)

API gateway

OWASPトップ10

クラウドセキュリティの主な問題
APIセキュリティ