2020年代はアプリケーションの構築方法を書き直しました。ブラウザはまだHTMLを読み込みますが、実際の作業のほとんどはAPI(公開、パートナー、内部)を通じて行われます。各APIはコントラクトです;各コントラクトには形があります;各形はクラシックなWAAPルールが検出できない方法で破られる可能性があります。Broken object-level authorization、mass assignment、excessive data exposure、broken authentication — OWASP API Top 10は攻撃パターンが異なるため、別のリストとして存在します。
業界の答えは純粋なAPIセキュリティプラットフォームの波でした — そのほとんどがクラウドSaaSです。機能させるには、APIトラフィックを可視化する必要があり、通常はエッジ経由でルーティングするかミラーコピーを送信することを意味します。規制産業、主権展開、またはAPIレスポンスにPIIや決済データが含まれる環境では、これは即座のコンプライアンスおよび運用上の問題です。
TR7はAPIセキュリティをAPIが実際に存在する場所(お客様のプラットフォーム)に保持します。API discovery、スキーマ適用、OWASP API Top 10カバレッジ、コンテンツ認識ルール、機密データマスキングはすべてオンプレミスで動作し、APIを配信する同じvServiceに接続されます。WAAPと配信に使用するのと同じコンソールがAPIセキュリティもカバーします。
それぞれ単独でも価値があります。組み合わせることで、APIを他社クラウドに送ることなくAPIセキュリティがどうあるべきかを定義します。
ほとんどのモダンAPIセキュリティプラットフォームはSaaSです — トラフィックとスキーマをクラウドに公開する必要があります。TR7はお客様のハードウェアで動作します。アップロードしたスキーマ、学習したインベントリ、検査したレスポンスはネットワークから出ることはありません。
OWASP API Security Top 10の完全カバレッジ — broken object-level authorization、broken authentication、excessive data exposure、mass assignment、security misconfigurationなど。すべての検出がCWE(100+コード)、CAPEC(30+パターン)、MITRE ATT&CK(30+テクニック)にマッピングされるため、SOCチームが使用している分類体系で届きます。
APIエンドポイントはパッシブなトラフィック観察によって自動的に発見されます。オペレーターはインベントリが本番環境に適用される前に確認します。OpenAPIスキーマは直接アップロードするか、トラフィックから学習できます;適用はメソッド、パス、パラメータ、ボディをコントラクトに対して検証するポジティブセキュリティモデルです — コントラクト外のものはログまたはブロックされます。
ヘッダー値、クッキーコンテンツ、URLパラメータ、さらにはJSONリクエストボディからパースされた値まで、任意のトラフィック属性に対してレート制限、チャレンジ、ブロックを実行します。例:リクエストボディが'tier: free'の場合と'tier: enterprise'の場合で検索エンドポイントのレート制限を変える。すべてビジュアルルールビルダーで設定;スクリプト言語不要。
PII、決済データ、クレデンシャル、その他の機密パターンがAPIレスポンスで検出され、クライアントに到達する前にポリシーに従ってマスクされます — 有用なコンテキスト(末尾4桁、部分的なメールアドレス)を残し、残りを隠します。他のルールと同じ設定モデルです。
以下の各機能はプラットフォームの一部として提供され、既存のvServiceに接続されます。
パッシブなトラフィック観察により、shadow APIや未文書化APIを含む、実際に使用されているすべてのエンドポイントが発見されます。オペレーターはインベントリを確認して追跡対象を承認するため、手動リストを維持することなくカタログの正確性が保たれます。
OpenAPI仕様をアップロードするか、TR7が観察されたトラフィックからスキーマを学習します。適用はリクエストメソッド、パス、パラメータ、ボディ形状をコントラクトに対して検証します;不一致はポリシーに従ってログまたはブロックされます。ポジティブセキュリティモデル — コントラクト外のものはinjectionsやmass-assignment試みを含めて拒否されます。
OWASP API Top 10で10/10カバレッジ — broken object-level authorization、broken user authentication、excessive data exposure、lack of resources & rate limiting、broken function-level authorization、mass assignment、security misconfiguration、injection、improper assets management、insufficient logging。
すべてのAPI検出がCWEコード、CAPECアタックパターン、MITRE ATT&CKテクニックにマッピングされます。SIEMコレレーション、インシデント対応、コンプライアンスレポートはセキュリティチームが使用している分類体系を使用します。
同じAPIの/login、/search、/exportで異なるレート制限。エンドポイントごとのメソッドレベル制限(GET許可、POSTブロック)。すべてAPIを配信するvServiceにスコープされます。
ヘッダー値、クッキーコンテンツ、URLパラメータ、パースされたJSONボディ値など任意のトラフィック属性に対してレート制限、チャレンジ、ブロックを実行します。ビジュアルで設定;習得すべき独自スクリプト言語不要。
APIレスポンスでPII(氏名、メールアドレス、国民ID)、決済データ(カード番号、IBAN)、クレデンシャル、ヘルスデータを識別します。クライアントへの配信前にポリシーに従ってマスク — 有用なプレフィックスまたはサフィックスを残し、残りを隠す — または提供されるべきでないデータの場合はレスポンスを完全にブロックします。
APIエッジでのJWT検証、mTLS、OAuth2、OIDC適用 — TR7のアクセス管理レイヤーに委譲されます。Webアプリを保護するのと同じIDポリシーがAPIを保護します。
WAAPとボット管理に使用されるのと同じ行動エンジンがAPIトラフィックをスコアリングします — TLSフィンガープリント、23カテゴリのIP reputation、リクエストリズム、リクエスト形状。行動ベースラインはアプリケーションの通常のAPI使用状況に適応します。
HTTPフラッド、slowloris、アプリケーション標的型ボットフラッドがWAAP層で吸収されます — エンドポイントごとにAPI対応の閾値で適用されます。vServiceごとにスコープされます。
credential-stuffingパターンはWebフォームだけでなく、APIログインエンドポイントも標的にします。Webログイン画面を保護するのと同じATO検出が/api/v1/loginも保護します — 分散型low-and-slow試行、impossible travel、異常なセッション生成レート。
すべてのAPIリクエスト決定 — 許可、ブロック、レート制限、マスク済み — はWAAPと配信に使用されるのと同じコンソールにログされます。任意のリクエストをエンドツーエンドで調査できます。PCI DSS、HIPAAおよびその他のコンプライアンス要件のための監査証跡が準備されています。
APIメトリクス、攻撃テレメトリ、インベントリはvService、WAAPポリシー、DDoSビューと同じオペレーターコンソールにあります。別途学習すべきAPIセキュリティペインはありません。
OWASP API Top 10はAPI攻撃パターンが異なるため、Web OWASP Top 10とは別のリストです。TR7は10項目すべてをカバーします。
攻撃者がURL内のオブジェクトIDを操作して他のユーザーのデータにアクセスします。スキーマ適用とエンドポイントごとの認証チェックにより、BOLA試行が可視化されブロック可能になります。
APIエンドポイントで弱いまたは誤設定の認証。APIエッジでのJWT検証、mTLS、OAuth2適用が一般的なバイパスパターンを防ぎます。
クライアントが必要とする以上のデータを返すAPI。機密データ検出とマスキングにより、PIIや決済データ、クレデンシャルがクライアントに到達する前に削除またはマスクされます。
レート制限のないAPIはボット、スクレーパー、credential-stuffingによって悪用されます。エンドポイントごと、メソッドごと、テナントごと、コンテンツ認識のレート制限がプラットフォームで悪用を阻止します。
権限のないユーザーに公開された特権機能。エンドポイントごとのメソッド制限をIDを認識したポリシーと組み合わせることで、不正な機能アクセスを防ぎます。
攻撃者がAPIが想定しないフィールドを注入して機密プロパティを更新します。OpenAPIスキーマ適用は予期しないフィールドを含むリクエストボディを直接拒否します。
詳細なエラーメッセージ、欠落したヘッダー、公開された管理エンドポイント。Discoveryがこれらのエンドポイントを発見し、ポリシーが本番環境に安全なデフォルトを適用します。
APIパラメータとボディでのSQL injection、NoSQL injection、command injection。WAAPシグネチャとスキーマに対するパラメータ検証がinjection試行をブロックします。
古いAPIバージョン、廃止されたエンドポイント、本番環境でアクセス可能な未文書化API。Discoveryがそれらを発見し、インベントリが状況を最新に保ちます。
セキュリティチームに見えない攻撃。すべてのAPIリクエスト決定が配信とセキュリティと同じコンソールにログされます;SIEMエクスポートはCWE/MITRE分類体系を使用します。
パートナーAPIへの厳格なスキーマ適用、顧客口座レスポンスの機密データマスキング、APIエッジで適用されたOAuth2認証、規制審査のための監査ログ。
HIPAAに関連するAPIレスポンスはPHIについてスキャンされます;機密患者データはクライアントアプリに到達する前にポリシーに従ってマスクされます。オンプレミス展開によりAPIとデータが院内ネットワーク内に保持されます。
エンジニアリングチームはセキュリティチームが追跡できるより速く新しいエンドポイントをリリースします。パッシブdiscoveryにより使用中のすべてのエンドポイントが発見されます;オペレーター確認のインベントリにより手動メンテナンスなしでカタログの正確性が保たれます。
cardingボット、スクレーパーファーム、credential stuffingがAPIエンドポイントを標的にします。エンドポイントごとのレート制限、コンテンツ認識ルール、行動ボットスコアリングにより実際の顧客をブロックせずに悪用を阻止します。
データ所在地規則によりサードパーティのAPI検査が禁止されています。オンプレミスAPIセキュリティにより各バイトが市民データの境界内に保持されます;コンプライアンス監査は1つのコンソールで各リクエストを追跡します。
チーム間に数百の内部エンドポイントがあり、多くが未文書化です。Discovery + スキーマ適用により各サービスチームが別々のSaaSエージェントを設定することなく、追跡されていない表面を管理されたカタログに変換します。
このソリューションが参照する機能 — 上記で説明した制御を構成する技術的要素。
アプリケーションコードに触れることなく、単一のルールからプリフライトとレスポンスCORSヘッダーを管理します。
WAAP検査、mTLSアイデンティティ、データマスキングは、トラフィックがTLS経由でバックエンドに流れても機能し続けます。
JSONボディフィールドとJWTコンテンツを、すべてのトラフィック判断のためのファーストクラスシグナルに変換します。
一つの式言語 — トラフィック、ヘルス、ロギング、GTM、セキュリティ、アクセス決定が同一モデルで。
3000+ルール、OWASP / API Top 10 / CWEタクソノミー、14の相関軸、ホストグループごと + クロスグループロールアップ。
ヘッダーを超える — ボディコンテンツをトラフィックとセキュリティの決定に組み込みます。
クライアント証明書を接続制御から引き上げ、トラフィック決定を動かすアイデンティティオブジェクトへと変えます。
シグネチャ、スコア、コンテキストを単一エンジンで組み合わせる — 既知の攻撃を確信を持って管理。
機密データがユーザーまたはログに届く前に、プラットフォームレベルでマスクします。
実際のトラフィックからAPIインベントリを抽出し、許可されたスキーマ外のリクエストを管理下に置きます。
1つのIP、1つのアカウント、1つのAPIキー — どのディメンションで制限するかを決めるのはあなたです。
GraphQLトラフィックを単純なPOSTボディとして扱わない — WAAP内でイントロスペクション、ネストDoS、クエリバッチングパターンを検出します。
TR7 APIセキュリティのライブデモをご依頼ください。APIトラフィックでdiscoveryを実行し、スキーマ適用フローを説明し、実際のレスポンスで機密データマスキングをお見せします。