境界防御を回避するAPI特有の攻撃の実態と最新の脆弱性対策

WebAPIは、スマホアプリやIoT、B2Bサービス連携など広く利用されていますが、商用のアプリやサービスの設計でマイクロサービス化が前提となり、さらに幅が広がっています。しかし、APIを狙う攻撃も急増しています。今年更新された、OWASP API Security Top 10で示された主な脅威が、実はAPIの特有の脆弱性を悪用する攻撃です。さらに、これらの攻撃は、従来のWAFやAPI-Gatewayなどの境界型防御では検知できないという課題があります。本セッションでは、企業ごとに異なるサービス連携やビジネスロジックに沿って実装されるAPIの、特に認証・認可に関する脆弱性を中心に、それを巧みに利用する攻撃の手口を実例を挙げて解説するとともに、対策を考えるうえでの課題を考察し、ふるまい検知とAIを用いた最新の検知技術のポイントについてご紹介します。 Presenter: 中西 一博, プロダクト・マーケティング・マネージャー, Akamai Technologies Moderator: Emily Kong, CISSP, CCSP