The Hacker Newsはこのほど、「Make API Management Less Scary for Your Organization」において、レガシーなAPI管理におけるセキュリティリスクとAPIの近代化の重要性について伝えた。APIの近代化を怠ると、組織は重大なセキュリティリスクにさらされるという。
The Hacker Newsは、古いAPIにはセキュリティ機能が欠けていることが多く、データ侵害、不正アクセス、分散型サービス拒否攻撃(DDoS: Distributed Denial of Service attack)に脆弱と指摘している。また、リアルタイムの監視機能もないため、組織はAPIに関わる脅威に気が付かず、サイバー攻撃の機会を与えてしまうという。
The Hacker Newsはこのような脅威からシステムを保護するために、最新のAPI管理を導入する必要があると説明している。最新のAPI管理の例として、次のような機能、行動の採用を推奨している。
- APIキー、JSON Web Token、OAuth、OpenID Connectなどの強力な認証方式を採用する
- HTTPS/TLSなどの暗号化による安全なデータ転送を採用する
- レート制限やスロットリングなどのポリシを採用して、APIの不正利用や分散型サービス拒否攻撃を防止する
- 機械学習を備えた監視ツールを利用して継続的なAPIトラフィック分析を行い、異常を即座に検出できるようにする
- 定期的にセキュリティ監査と脆弱性評価を実施し、弱点を発見して修正する
- 従業員にサイバーセキュリティのベストプラクティスについて教育し、セキュリティを意識した企業文化を育成することでソーシャルエンジニアリング攻撃を防止できるようにする
上記のような要素から成る最新のAPI管理を導入することで、組織は進化する脅威に対する強力な防衛策を確立し、データとサービスの整合性、機密性、可用性を維持できるとしている。The Hacker NewsはほかにもAPI関連のソリューションとしてGloo GatewayやOpenTelemetryを挙げ、その機能と利点を解説している。提供のために新しいAPI管理へ移行することが望まれている。
