アプリケーションセキュリティーソリューションのリーディングプロバイダーであるWallarm(ワラーム)は、米サイバーセキュリティーインフラセキュリティー庁(CISA)が最近発表した拘束力のある運用指令(BOD)25-01を踏まえ、APIセキュリティーの重要性を強調した。連邦政府のクラウド環境のセキュリティー体制強化を目的としたこの指令は、クラウドベースのサービス全体にわたって厳格な構成、可視性、および制御を義務付けている。指令ではAPIセキュリティーについて明示的に言及されていないが、Wallarmは、現代のクラウドシステムのセキュリティー確保は、セキュリティーチームが認識していない可能性のあるAPIも含め、APIのセキュリティー確保に大きく依存していると強調している。
BOD 25-01指令は、米国連邦民政執行部(FCEB)機関に対し、Microsoft 365などのクラウドプラットフォーム全体にわたって、SCuBAベースラインと呼ばれる安全な構成ベースラインを採用することを義務付けている。この指令は、全てのクラウドテナントのインベントリー、CISA開発の評価ツールの導入、必須のセキュリティー構成の実装、継続的な監視と修復、そして逸脱のタイムリーな修復を義務付けている。この指令は主にSaaSに焦点を当てているが、安全な構成、継続的な監視、一元化されたガバナンスという中核原則は、APIセキュリティーに直接的な影響を与える。
あらゆる現代のクラウドサービスを支えるAPIは、クラウドセキュリティーの中核を担っている。APIは、ユーザーとデータ、システムとサービス、そしてアプリ同士をつないでいるが、多くのAPIは標準的なインベントリーや評価では把握されていない。以前の開発サイクルで残された、チームによって文書化されていない、あるいはガバナンスプロセスの外でデプロイされた「シャドーAPI」は、見落とされがちですが、攻撃者に悪用される可能性がある。BOD 25-01に完全に準拠するには、政府機関はAPIの検出、分類、保護をクラウドセキュリティープログラムの中核として扱う必要がある。これには、全てのアクティブなAPIを特定し、その動作を継続的に監視し、全てのエンドポイントにわたって一貫したセキュリティー制御を適用することが含まれる。
Wallarmは、組織がBOD 25-01の要件を満たすためのソリューションを提供している。同社のプラットフォームは、最新のアプリケーションアーキテクチャーを保護するように設計されており、セキュリティーチームにAPIエコシステム(ほとんどのプラットフォームでは見逃されているシャドーAPIを含む)の詳細なリアルタイムの可視性を提供する。Wallarmのプラットフォームは脆弱性を特定するだけでなく、ブロックも行うため、機関とそのパートナーは、BOD 25-01の精神と文言に沿って、事後対応型から事前対応型へのレジリエンス(回復力)へと移行できる。Wallarmは、セキュリティーがイノベーションを阻害するのではなく促進するために、本番環境のインフラストラクチャーとクラウドネイティブスタックにシームレスに統合する。
出典:Wallarm
この製品の詳細については、Wallarm製品ページをご覧ください。
