start portlet menu bar end portlet menu bar
  • 無料トライアル
    • HCL AppScan
    1. Home
    2. Cybersecurity
    3. HCL AppScan
    4. API Security
    AppScan-HCL AppScan API Security

    包括的な API 検出、動的なテスト、リスク管理

    AppScan-Comprehensive API Discovery, Dynamic Testing and Risk Management

    動画 1:22

    HCL AppScan API Security で API を保護

    包括的な API 検出、動的なテスト、リスク管理

    アプリケーション・プログラミング・インターフェース (API) によってデジタルの世界は変容しており、アプリケーション間の通信が促進され、さまざまなデジタル・サービスが成長しています。しかし、こうした成長領域はサイバー攻撃の主な対象にもなっています。

    HCL AppScan API Security は API のセキュリティーを保つ堅牢なソリューションであり、あらゆる API をシームレスに検出し、インベントリーを作成して分析します。AI 対応のインサイトにより、脆弱性を迅速に特定して解決し、組織では API エコシステム全体の保護と管理を効果的に実施できます。

    次世代の API セキュリティーを推進

    AppScan-Continuous Discovery

    継続的な検出

    専門能力の学習を行い AI を導入した検出プラットフォームで、セキュリティーの盲点を縮小できます。全 API アセットを検出してインベントリーを作成し、機密データの移動を特定し、API をオーナーおよび機能とリンクさせて API セキュリティーポスチャーについてのインサイトを提供します。

    AppScan-Posture Governance

    ポスチャーガバナンス

    社内 API 標準を適用し、AI 駆動のインサイトで最もリスクが高い API アセットを評価し、優先付けします。定義済みのポリシーテンプレートと多様な API ポリシーライブラリーを使用して業界のベストプラクティスを適用することで、リスクが軽減しコンプライアンス対応がシンプルになります。

    AppScan-Dynamic Analysis

    動的な分析

    最高レベルの DAST と最先端の仕様、ビジネスロジック、API 構成データをシームレスに統合することにより、API 特有の脆弱性テストを非常に正確に行うことができ、時間とリソースを節約できます。OWASP API Security のトップ 10 リストの 100% カバーを保証できます。

    メリット

    AppScan-Benefits

    メリット

    • 包括的な API カバレージ: 継続的検出のプラットフォームが生成するインサイトは、自動的に HCL AppScan の詳細なテスト (SAST、DAST、IAST、SCA) に統合され、他の手法では見逃しかねない脆弱性を特定します。
    • 高速なインシデント対応: API の動作に基づいた改善版の DAST テストにより、脆弱性を迅速に特定し、対応します。
    • 規制コンプライアンス: PCI DSS、HIPAA、GDPR などの規制へのコンプライアンスを実現します。堅牢なポリシーの実装によって API の動作とアクセス制御を許容可能なのものにし、API をガバナンスとコンプライアンス監査の中核アセットとして扱います。
    • ビジネス価値の最大化: 開発者が社内でセキュアな API を開発できるようサポートします。API を他の IT アセットと同様に管理することにより、ワークフローを合理化します。

    関連リソース

    AppScan-brochure
    AppScan-brochure

    パンフレット

    HCL AppScan API Security パンフレット

    API Security ソリューションの機能、メリットの概要。

    パンフレットをダウンロード
    AppScan-thought-leadership-blog
    AppScan-thought-leadership-blog

    ブログ

    HCL AppScan API Security のご紹介: API 保護のスマートなアプローチ

    すべての API を保護できる新製品をご紹介します。

    続きを読む
    AppScan-announcement-blog
    AppScan-announcement-blog

    ブログ

    シャドーの正体を暴く: 効果的なサイバーセキュリティーにおける API 検出の役割

    効果的な API セキュリティーのために API 検出が重要である理由。

    続きを読む

    機能

    AppScan-Automatic API Discovery

    自動 API 検出

    すべての API を特定します。文書化されていないもの、シャドー API や ゾンビ API、API ゲートウェイや OpenAPI 仕様にも存在しないものも含まれ、API エコシステムを全体的に可視化できます。不明な API を介して漏洩しうる PII などの機密データを保護できます。

    AppScan-Detailed API Intelligence

    詳細な API インテリジェンス

    パラメーター、仕様パターン、機密データの露出などを含む粒度の細かい API の詳細によって、アタックサーフェスとリスクプロファイルをより明快に理解できます。動的なドキュメント保守により、検出された API と既存のレコードを継続的に比較し、API ドキュメントを最新の状態に維持します。

    AppScan-Contextual API Insights

    状況に沿った API インサイト

    フィルタリングとクエリの高度な機能により、API の動作についてカスタマイズされ状況に即したインサイトが得られます。包括的なリスク評価では、各 API について、脆弱性、構成エラー、機密データの漏洩など、潜在的なリスクを評価します。

    AppScan-API Testing

    API テスト

    自動 DAST スキャンは、Postman コレクションファイル、Open API の説明、トラフィックの記録、主要 API テストツールとのシームレスな統合を使用して、API を解析します。IAST API Monitoring は IAST API 呼び出しにより、すべての API を検出してカタログ化します。SCA は API 開発においてオープンソースパッケージをスキャンし、脆弱性があるサードパーティーの API 部品を特定します。

    AppScan-Insight-driven Governance

    インサイト駆動のガバナンス

    インサイトの発見により、高度な API ポスチャーガバナンス・エンジンを使用して、ポスチャーガバナンス・ポリシーを作成およびカスタマイズします。既存の IT セキュリティーポリシーを拡張するか、または、認証、認可、全 API の入力検証など、整合性があるセキュリティー対策を保証する既存またはカスタムのルールを適用します。

    AppScan-Intelligent Risk Prioritization

    インテリジェントなリスクの優先順位付け

    ポスチャーガバナンス・エンジンは IT エコシステム内の API リスクを分析します。ビジネスインパクトに基づいてリスクを優先順位付けするため、組織は最も重大な脆弱性の修復に集中できます。ポスチャーの確認を API 開発中の CI/CD パイプライン中に埋め込めば、DevSecOps プラクティスと整合した迅速な復旧か可能となります。

    よくある質問

    API セキュリティとは何ですか?

    APIセキュリティとは、アプリケーション・プログラミング・インターフェース(API)を脅威や脆弱性から保護するための戦略とツールを指します。APIは、マイクロサービスの接続、モバイルアプリの有効化、サードパーティとの連携など、現代のソフトウェアの基盤となるため、攻撃者にとって格好の標的となっています。

    効果的な API セキュリティにより、機密データ、システム、アプリケーションが不正アクセス、不正使用、侵害から保護されます。

    API をどのように保護できますか?

    APIのセキュリティ確保は、まず可視性、つまりどのようなAPIがあるのか​​、どこにあるのか、そしてどのように使用されているのかを把握することから始まります。そこから、APIを継続的にテストする必要があります。これには、HCL AppScanなどのDASTツールを使用し、ソースコードがなくても実行中のAPIの脆弱性をスキャンすることが含まれます。また、コードや依存関係にアクセスできる場合は、SASTまたはSCAを使用する必要があります。APIゲートウェイと適切な認証(OAuth、トークンなど)はアクセス制御に役立ち、スキーマ検証、レート制限、ログ記録によって防御が完結します。

    Shadow API とは何ですか?

    シャドーAPIとは、組織のITチームやセキュリティチームの監視下にない、文書化されていない、または管理されていないAPIです。これらのAPIは、古いバージョン、社内開発、または承認されていないデプロイメントから発生することが多く、標準的なガバナンスを回避し、適切なセキュリティテストが実施されておらず、機密データが漏洩する可能性があるため、重大なセキュリティリスクをもたらします。安全でコンプライアンスに準拠したAPI環境を維持するためには、シャドーAPIを特定し、定期的にテストを行うことが不可欠です。

    ゾンビ API とは何ですか?

    ゾンビAPIとは、古いAPIや非推奨APIで、まだアクティブまたはアクセス可能ではあるものの、メンテナンスや監視が行われていないAPIのことです。これらのAPIは、新しいバージョンのリリースやシステムのアップグレード後も、見落としにより無防備な状態のままになることがよくあります。ゾンビAPIは忘れ去られ、パッチが適用されないため、潜在的なデータ漏洩や攻撃者に悪用される可能性のある脆弱性など、深刻なセキュリティリスクをもたらします。ゾンビAPIがセキュリティ上の脅威となるのを防ぐには、定期的なAPIインベントリチェックと、使用されていないエンドポイントの廃止が不可欠です。

    HCL AppScan はソースコードなしで API をテストできますか?

    はい、HCL AppScan はソースコードにアクセスすることなく API をテストできます。
    AppScan は DAST 機能を使用して、OpenAPI/Swagger ファイル、Postman コレクション、または WSDL を取り込むことで実行中の API をスキャンできます。また、トラフィック記録やプロキシ統合を通じて API を学習することもできます。AppScan on Cloud と AppScan Enterprise はどちらもこのアプローチをサポートしており、CI/CD パイプラインに完全に統合できます。より高度なシナリオでは、HCL AppScan API Security によって API の検出とテスト範囲が拡張されるため、ソースコードにアクセスできないサードパーティ製 API や本番環境の API を保護するのに最適です。

    HCL AppScan が他の API セキュリティ ツールと異なる点は何ですか?

    HCL AppScan API Securityは、自動API検出、高度な脆弱性テスト、継続的なポスチャ管理を組み合わせ、SDLC全体にわたってAPIを保護します。拡張性を重視した設計で、APIエコシステム全体を保護し、シャドーAPIやゾンビAPIを検出し、従来のスキャンでは見逃される可能性のあるランタイムインサイトを提供します。