APIの悪用防止

Wallarm APIセキュリティプラットフォームで提供されるWallarm API悪用防止モジュールは、悪質なボット、アカウント乗っ取り(ATO)、クレデンシャルスタッフィング、アプリ層(L7)DDoS攻撃など、貴社の運用や防御を圧倒しかねない自動化された悪意のある行為を包括的かつ即時に守ります。

デモを見る
データシート
ビデオを見る
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
閉じる
プライバシー設定
ウェブサイト運営に必要なCookieや類似技術を使用しています。追加のCookieは貴社の同意がある場合のみ利用されます。同意は「Agree」をクリックすることでいただけます。どのデータが収集され、どのようにパートナーと共有されているかの詳細は、Cookieポリシープライバシーポリシーをご確認ください。
Cookieは、貴社デバイスの特性や、IPアドレス、閲覧履歴、位置情報、固有識別子などの特定の個人情報を取得、解析、保存するために使用されます。これらのデータは様々な目的で利用されます。分析Cookieによりパフォーマンスを評価し、オンライン体験やキャンペーンの効果向上に役立てます。パーソナライズCookieは、利用状況に応じた情報やサポートを通じ、貴社専用の体験を提供します。広告Cookieは、第三者が貴社のデータをもとにオーディエンスリストを作成し、ソーシャルメディアやネット上でのターゲット広告に使用します。貴社は各ページ下部のリンクから、いつでも同意の許可、拒否、または撤回が可能です。
ご送信ありがとうございます。内容を受け付けました。
申し訳ありません。フォーム送信時にエラーが発生しました。

APIの悪用防止は必要?

APIファーストのアプローチにより、悪質なボットやアカウント乗っ取り(ATO)、クレデンシャルスタッフィング、アプリ層(L7)DDoSなど、API特有の悪用リスクにさらされます。

1
外部公開されているAPIは、顧客やパートナー、社内オペレーションを支えるためにアクセス可能な設計になっています。そのため、データのスクレイピング、システムの過負荷、詐欺行為など、悪質なボットによる悪用を受けるリスクがあり、収益損失、顧客データの流出、企業イメージの損傷を招く恐れがあります。
2
レート制限やDDoS対策などの従来のセキュリティツールは、大量の攻撃を減らすのに有効ですが、正規のトラフィックと悪意あるトラフィックを区別できない場合が多いです。また、従来のボット管理はAPIエンドポイント上で、人間ユーザーの中から悪意あるユーザーを特定するにはある程度有効です。
3
しかし、APIは自動化されているため、実際には他のボットの中から悪質なボットを見つけ出すことが重要です。この問題を解決するには、リクエストの意図と文脈を踏まえて大規模に評価できるアプローチが求められます。

API悪用の種類

外部公開しているAPIを守るには、OWASP API1:2023 (BOLA)API9:2023 (不適切な在庫管理)で示されるような、最新のAPI特有の脅威に備える必要があります。一見するとよくあるパターンに見えても、挙動は異なります。例えば以下の例があります。

アカウント乗っ取り(ATO)
たとえばクレデンシャルスタッフィングなどを通じ、悪意ある人物がアカウントに不正アクセスすることです。これにより、なりすましや金銭的被害、信用の失墜など重大な影響が生じる可能性があります。
事例: 2020年末に起きたAccellion FTA攻撃(CVE-2021-27103など)。
L7 API DoS攻撃
アプリ層(レイヤー7)を狙うDoS攻撃では、大量のAPIリクエストでAPIを圧迫し、結果としてAPIがダウンして正当なユーザーが利用できなくなる可能性があります。これにより、金銭的損失や信用の損失、ユーザーからの信頼低下を招く恐れがあります。
事例: 2020年末に起きたAWSのRoute 53 DNSウェブサービスへの攻撃。
スキャニングとスクレイピング
自動化されたスクリプトがAPIを探索・スクレイピングし、ダウンタイムやデータ漏えい、不正アクセスなどを引き起こす場合があります。その結果、知的財産やエンドユーザーの機微情報の盗難につながる恐れがあります。
事例: 2021年中頃にFacebookのユーザー5億3,300万人以上の個人データがスクレイピングされたケース。

APIの悪用から守る

Wallarmの統合かつカスタマイズ可能なアプローチを使って、貴社のAPIを守る際のギャップをなくし、運用や正当ユーザーへの影響を最小化できます。

APIに特化

APIはオープンに利用されるよう設計されているため、悪用を防ぐにはアクセスと防御のバランスが重要です。Wallarmを使えば、検知や閾値を組み合わせて、貴社のAPI環境に適した守りをカスタマイズできます。

検知と対策

正当な自動処理と悪意ある自動処理を判別し、貴社のシナリオに応じて害を及ぼす可能性のある動きをブロックすることで、APIの防御における盲点をなくします。

セッションの可視化

Wallarmでは、APIの悪用が発生したセッションを完全に可視化できます。特定の攻撃が起きる前後を含め、APIのやり取り全体を確認できます。

API悪用防止の概要

Wallarm API悪用防止では、API特有の悪質な自動化された行為が防御や運用を圧倒するのを防ぐために、可視化、設定機能、管理機能を提供します。

可視化
リクエストパターンやタイミングの異常、APIエンドポイントの挙動など、複数の要素に基づいて自動化された動きの指標をグループ化・表示し、有害となりうる行為を可視化します。
設定可能性
複数の検知タイプを組み合わせ、重み付けや閾値を設定することで、貴社のニーズに合わせたAPI悪用対策を構築できます。
管理
悪意ある動きを監視し、その詳細な状況を把握したうえで、正当な利用を確保しつつ運用負荷やコストを抑えるための設定を調整できます。
特化
Wallarm API悪用防止では、L7 DDoS攻撃やクレデンシャルスタッフィング/アカウント乗っ取り、セキュリティクローラー、コンテンツスキャナー/スクレイパーなど、多岐にわたる悪意あるボットの動きを特化した検知で見極め、阻止します。
"とても魅力的です!弊社が求めるAPI悪用防止要件をすべて満たし、可視化や自動化されたカスタマイズ制御、深いコンテキストを提供してくれます。正当なユーザーを守りつつ、不正利用者をブロックできます。"
Robert A., 情報技術ディレクター、大規模ホスティング企業

攻撃者に嫌われ、
セキュリティに信頼される

攻撃者は貴社が監視しているかどうかに関心がなく、攻撃を止められるかのみ重視しています。そのため、Wallarmは類稀な守ると防止する機能を求めるセキュリティチームに選ばれています。

#1

お客様のレビューで

160K+

APIが守られている

何十億

毎日、APIリクエストが守られている

Wallarmを利用することで、必要な規模までAPIの守りを拡大し、インフラをコードで管理する方法で運用できています。

Rappi セキュリティ責任者 Gustavo Ogawa

WallarmはAPIセキュリティのリーダー

Wallarmだけのご意見ではありません。セキュリティのリーダーや実務者が、Wallarmのプラットフォームについてどう考えているかをご覧ください。

レビューを読む
"貴社のアプリセキュリティを包括的に守る"

世界で最も革新的な企業に支持されている:

Panasonic Logo
Victoria's Secret Logo
Miro Logo
Dropbox Logo
Rappi Logo
Wargaming Logo
Semrush Logo
UZ Leuven Logo

追加リソース

さらに詳しく知りたい方のために、Wallarm API悪用防止に関する追加資料をご用意しました。

API悪用防止データシート
APIの悪用を抑え、コントロールを取り戻せます。
API悪用防止デモ映像
Wallarmのユニークで統合的なアプローチが、悪意ある自動化された行動にどのように対処するかをご覧ください。
Q2-2023 デモキャスト
プラットフォームの主要コンポーネントと、最新の機能拡張について詳しくご紹介します。

貴社のAPIを守る準備はできましたか?

Wallarmは、迅速な開発と安全な運用を実現するために、貴社をサポートします。

プロダクトツアーデモを受ける