API のセキュリティ体制を改善する

API は、クラウドネイティブ アプリへのエントリ ポイントです。 サービス、アプリ、データを接続し、攻撃者のターゲットにします。 API セキュリティ体制管理は、構成ミスや脆弱性からリスクを評価することで API を保護するのに役立ちます。 Microsoft Defender for Cloud の Defender クラウド セキュリティ態勢管理 (CSPM) プランでは、Azure API Management API の API 態勢とリスク評価が提供されます。

注

Function Apps と Logic Apps でホストされている API の API 検出とセキュリティ体制が、パブリック プレビューで利用できるようになりました。 これには、API の可視性、非アクティブまたは休止中の API の識別、およびセキュリティ リスクを引き起こす可能性のある暗号化されていないトラフィックを許可する API が含まれます。

機能

Defender for Cloud の API セキュリティ態勢管理によって、次の機能が提供されます。

• API を可視化します。
  Function Apps と Logic Apps でホストされている Azure API Management と API 全体でマネージド API の一元的なビューを取得し、Defender for Cloud への自動オンボードを行います。
• リスク要因を使用して API のセキュリティに関する推奨事項を評価する (Azure API Management のみ)
  • 認証されていない API リスクを特定して修復します。
  • インターネットに公開されている API を検出します。
  • サンプリングされた API トラフィック ログを分析することで、要求と応答、URL パス、クエリ パラメーター (Microsoft Purview と統合) など、API エンドポイントでの機密データの公開を特定します。
• 非アクティブまたは休止中の API を特定します。
  Azure API Management、Function Apps、Logic Apps 全体で使用されなくなった Surface API。
• 暗号化されていないトラフィックを許可する API を特定します。
  暗号化されていない通信を許可する Surface API。リスクが発生する可能性があります。
• 仮想マシン、コンテナー、ストレージ、データベースなどのバックエンド環境に API をリンクすることで、クラウド アプリケーションの公開リスクを理解します。
• クラウド セキュリティ エクスプローラーと API 主導の攻撃パス分析を使用して、API 主導の攻撃パスに対処し、軽減策に優先順位を付けます。

統合インベントリ

Defender for Cloud は、Azure API Management、Function Apps、Logic Apps 全体の API を継続的に検出します。 Defender for Cloud 資産インベントリ と API セキュリティ ダッシュボードでは、ポスチャ分析情報を使用してすべての API を表示できます。 これは、API のリスクに効率的に対処するのに役立ちます。

API セキュリティのベスト プラクティスに優先順位を付けて実装する

暗号化の欠如や、認証の破損や脆弱な匿名アクセスなど、リスクの高い問題に対して API を評価してセキュリティで保護します。 非アクティブな API とインターネットに直接公開されている API に関する分析情報を得る。 Defender for Cloud では、潜在的な悪用可能性とビジネスへの影響を考慮して、API リスクをスキャンします。 セキュリティに関する推奨事項 は、これらの要因に基づいて優先順位が付けられます。これにより、重要な脆弱性を最初に修正できます。

機密データを公開する API を分類する

データ公開のソースを含め、API URL パス パラメーター、クエリ パラメーター、要求と応答本文で公開されている機密データを評価することで、データのセキュリティを向上させます。 Microsoft Purview では、カスタムの機密情報の種類と秘密度ラベルを使用して、転送中データのリスクをカバーする一般的な分類を作成できます。

サンプリング

API での機密データの公開は、Defender CSPM プラン内のサンプリング方法を使用して評価されます。 この方法では、コストと時間の両方を節約できます。

API リスクを調べ、修復に優先順位を付ける

攻撃パス分析では、API エンドポイントに対するリスクを特定します。特に、認証されていないアクセスや外部への公開などの複数のセキュリティ分析情報を使用します。 Defender CSPM の クラウド セキュリティ エクスプローラー を使用して、API を仮想マシンやロード バランサーなどのバックエンド コンピューティング環境にリンクすることで、API リスク探索を強化します。 この可視性は、セキュリティ チームが API 攻撃面に迅速に優先順位を付けてそれらを軽減し、潜在的な横移動やデータ流出のリスクに関する分析情報を提供するのに役立ちます。

API セキュリティ態勢管理を有効にする

Microsoft Defender for Cloud で API セキュリティ体制機能を使用するには、次の手順を実行する必要があります。

1. サブスクリプションで Defender Cloud Security Posture Management (CSPM) プランを有効にします。
2. API Security Posture Management 拡張機能を有効にして、Defender for Cloud が API を検出し、その状態を評価できるようにします。

有効にすると、Defender for Cloud は、サポートされている API のオンボードを自動的に開始し、可視性とセキュリティの分析情報を提供します。

関連するコンテンツ

• Defender CSPM を使用して API セキュリティ体制を有効にします。
• セキュリティに 関する推奨事項の確認。
• 攻撃パスを特定して修復します。
• Defender for API ワークロード保護を使用して API の脅威を監視します。