Advanced API Security の概要

このページは Apigee と Apigee ハイブリッドに適用されます。

Apigee Edge のドキュメントを表示する。

Advanced API Security は、悪意のあるクライアントからの攻撃や不正使用などのセキュリティ上の脅威から API を保護するために、API を継続的にモニタリングします。Advanced API Security は、API トラフィックを分析して不審な API リクエストを特定し、必要に応じてブロックまたはフラグを設定するツールを提供します。さらに、Advanced API Security は API 構成を評価して API 構成がセキュリティ標準を満たしていることを確認し、必要に応じて改善するための推奨事項を提供します。

Advanced API Security によるランタイム トラフィックへの影響はありません。

次の図は、Advanced API Security の仕組みを示したものです。

Advanced API Security は、次のプロセスを使用して API を保護します。

1. API を通過する最近のトラフィックのデータを収集します。
2. データを分析して、API に対する脅威を示す異常なトラフィック パターンを検出します。
3. Apigee UI の以下のページに分析結果が表示されます。
   • 不正行為の検出
   • セキュリティ レポート
   • リスク評価
4. 分析を確認してから、セキュリティ対策のページを使用して、特定の IP アドレスからのリクエストをブロックするか、フラグを付けることができます。Advanced API Security に関連するイベントを通知するセキュリティ アラートを作成することもできます。

Apigee Adapter for Envoy で実行されている API はサポートされていません。

Advanced API Security を使用する

Advanced API Security は、次の組織タイプで有料アドオンとして利用できます。

• Apigee サブスクリプション組織と従量課金制組織
• Apigee ハイブリッド組織
• データ所在地が有効になっている Apigee 組織。DRZ 対応のハイブリッド組織での使用については、データ所在地と Apigee ハイブリッドをご覧ください。

Advanced API Security を使用するには、次のセクションの説明に従って、まず Advanced API Security を有効にする必要があります。

• 従量課金制を使用する組織の Advanced API Security を管理する
• サブスクリプションを使用する組織の Advanced API Security を管理する

Advanced API Security は、どのトライアル組織でも無料でお試しいただけます。詳細については、Apigee 営業担当までお問い合わせください。

Advanced API Security の機能

以降のセクションでは、Advanced API Security の機能について簡単に説明します。

不正行為の検出

[不正行為の検出] には、API に関連するセキュリティ インシデントが表示されます。セキュリティ インシデントとは、互いに関連している、検出されたセキュリティ イベントのグループです。Advanced API Security は、Google の機械学習アルゴリズムに基づく検出ルールを使用して、API のスクレイピングや異常などの悪意のあるアクティビティの兆候となるパターンを特定します。その後、セキュリティ対策を使用して、これらの脅威への対抗措置を講じることができます。

セキュリティ レポート

セキュリティ レポートは、API に対するセキュリティ上の脅威に関する詳細な分析が表示されます。たとえば、リクエストの送信元の国などのさまざまな項目別に、悪意のあるリクエストの数に関するレポートを作成できます。これらのレポートは、Apigee UI または API を使用して表示できます。

リスク評価

リスク評価は、セキュリティ標準に準拠していない API を特定するのに役立ちます。リスク評価では、API 構成を定期的に評価し、セキュリティ レベルを評価するためのスコアを計算します。低いスコアにより構成の問題が示されている場合、Advanced API Security は問題を解決するための推奨事項を提供します。

セキュリティ対策

セキュリティ対策を使用すると、[不正行為の検出] ページの情報に基づいて、検出されたトラフィックを Apigee が処理する方法を定義できます。たとえば、不正行為の発生源として識別された IP アドレスからのリクエストを拒否するセキュリティ対策を作成できます。

セキュリティ通知

Advanced API Security に関連するイベント（セキュリティ スコアやセキュリティ インシデントの変更など）が検出されたときに通知が届くようにセキュリティ通知を設定できます。

Advanced API Security によるデータの難読化

Advanced API Security は、機密データをハッシュ値に置き換えて難読化されたデータを使って動作します。データ難読化機能の詳細については、Apigee API Analytics 用にユーザーデータを難読化するをご覧ください。

難読化が構成されている場合、Advanced API Security のチェック（不正行為の検出やセキュリティ アクションなど）は難読化の前に適用されます。たとえば、IP アドレスが難読化されている場合でも、特定の IP アドレスからの不正行為を検出できます。ただし、（クライアント IP アドレスなどの）難読化された値は、ユーザーが Advanced API Security の UI や API を通じてクリアテキスト（ハッシュ化されていない値）で見ることはできません。表示されるのはハッシュ化された値です。

Advanced API Security で使用するデータ値の難読化解除が必要な場合があります。たとえば、セキュリティ アクションを構成するためにクライアント IP アドレスが必要になる場合があります。値がすでに難読化されている場合、クリアテキストの IP アドレスを取得できません。データ難読化では 1 方向ハッシュが使用され、Advanced API Security ではハッシュ値をクリアテキスト値に戻すことができないため、セキュリティ アクションの構成で難読化された（ハッシュ化された）値を使用することはできません。