シノプシス ソフトウェア・インテグリティ・グループはブラック・ダックになりました 詳細はこちら

APIがオープンソース、サードパーティー製ライブラリ、コンポーネントに脆弱性を生み出し、組織にセキュリティ・リスクをもたらす可能性を低減するには、適切な設計、実装、管理が不可欠です。Black Duckは、セキュリティおよび開発チームが効果的なAPIセキュリティ・テスト・プログラムを実現するために役立つツールやサービスを提供しています。

APIはアタックサーフェスとして急速に拡大している

45%

セキュリティ上の最大の懸念事項はAPIであると答えたESG調査回答者の割合

38%

APIのセキュリティ不備が原因で受けた攻撃によりデータを失ったことがあると答えたESG調査回答者の割合

APIのセキュリティ上の課題を理解する

全体的なアプリケーション・セキュリティ体制に対する認識不足 

開発チームとAppSecチームは、シャドーAPIや不正なAPIが含まれているアプリケーションAPIの全体像を把握していません。多くの場合、APIドキュメントの不正確な記載または記載の欠落により、リスク管理体制に対する誤った認識が生じています。

APIテストのベスト・プラクティスに関する専門知識の欠如

多くの組織は、AppSecプログラムの一環としてWebインターフェイスとバックエンドAPIを適切にテストする方法に関する知識が不足しています。QAチームは、認証とアクセス制御のためにAPIを手動で設定する手間を取られ、膨大な時間とリソースを消費しています。

外部サービス間のAPIアーキテクチャとデータフローの可視性の制限

AppSecチームは往々にして、APIエンドポイントからアプリケーション内のコンポーネントへのデータフローについて、全体像ではなく、システムリスクの概略しか把握していません。

APIベースのアプリケーションのセキュリティを確保する

検出

各アプリケーション資産のAPIエンドポイントを検出し、APIインベントリを構築します。APIインベントリを維持するために、自動化されたデプロイを追跡/監視します。

テスト

APIのセキュリティを評価し、脆弱性を継続的にテストします。APIのテストと文書化をCI/CDパイプラインに組み込み、実用的な結果を開発者にわかりやすい形式で提供します。

修正

コード行の分析情報で結果を検証し、APIの弱点を修正します。また、問題を迅速かつ効率的にリアルタイムで修正します。

Black Duckのソリューションを活用して効果的なAPIセキュリティ・テスト・プログラムを作成する

組織は、APIベースのアプリケーション・リスクに取り組むための戦略を含む包括的なAPIセキュリティ・テスト・プログラムを策定する必要があります。エンタープライズ・アプリケーションを潜在的な脅威から保護するには、APIライフサイクル管理とポリシーに関する計画を作成し、企業のアタックサーフェス全体にわたるすべての既知のAPIとシャドウAPIのAPIインベントリをカタログ化した上で、アプリケーション・セキュリティ・テスト・ツールにより脆弱性を検出し、APIの弱点に関する分析情報を生成します。

APIの自動検出
アプリケーションによって公開されているエンドポイントを自動的に検出し、継続的なテストを実行する

Seekerを利用することで、すべての既知および未知のAPIエンドポイントを検出し、APIカタログを作成してアプリケーション環境全体にわたるAPIを見つけることができます。このツールは、自動的にインベントリを更新し、APIの継続的なテストを実行して脆弱性リスクを評価することにより、APIセキュリティの課題に取り組むAppSecチームの負荷を軽減します。

継続的なAPIテスト
アタックサーフェス全体を自動的にテストする

SeekerのActive Inspection(アクティブ検査)機能は、API仕様を取得し、アプリケーションのアタックサーフェスを網羅するリクエストを自動的に生成します。Seekerは、既存の認証済みセッションを利用し、テスト用の認証トークンを再利用するため、面倒な設定が不要です。また、潜在的に危険なセキュリティ脆弱性を根絶するために、隠されたパラメータをテストし、アプリケーションで公開されている機密データにフラグを立てます。

<p>Your developers are the first line of defense against security weaknesses (CWEs) and vulnerabilities (CVEs). Enable them to find and fix security defects as they code with&nbsp;<a href="/content/black-duck/en-us/code-sight.html">Code Sight™ IDE integration</a>.&nbsp;</p>

修正が容易
視覚的なデータフロー・マップでコードとデータの欠陥を特定する

Seekerにより、APIの背後にある実行中のコードとデータフローをホワイトボックス・テストで可視化できます。開発チームは、大規模なマイクロサービス・アプリケーション、組織内の接続されたサービス間の接続、外部Webサービス・プロバイダーへの発信接続など、テスト対象のシステムのアーキテクチャを示すデータフローマップからコンテキストベースの修正ガイダンスとリアルタイムの情報を取得できます。Seekerは、GraphQLとRESTful APIを使用したマイクロサービス・アプリケーションをサポートしています。

APIプログラム戦略
APIセキュリティ・コントロールおよびポリシーを構築する

Black Duckのアプリケーション・セキュリティおよびリスク管理サービスは、エンタープライズAPIプログラムの戦略設計、脅威とリスクの評価、APIペネトレーション・テストなどの戦略的アドバイザリー・サービスを提供し、APIセキュリティのあらゆるニーズに対応します。

APIセキュリティ・テストの詳細はこちら