2025年7月4日14:09
Thales(タレス)は、Imperva Application Securityプラットフォームに新たな検知・レスポンス機能を追加したと発表した。同プラットフォームは、OWASP API Security Top 10で最も深刻な脅威とされている、オブジェクトレベル認可の不備(Broken Object Level Authorization:BOLA)を含むビジネスロジック攻撃に対応している。リスクの高いAPI、BOLA攻撃、未認証API、非推奨APIに対するリアルタイム検知と自動対応を統合することで、無許可のデータ露出や複雑なビジネスロジックの脆弱性からクラウドやオンプレミス環境を包括的に保護するという。
APIは現代のアプリケーションの基盤となっており、企業はAPIを活用してサービスをシームレスに接続し、業務を最適化し、パーソナライズされた体験を大規模に展開している。Imperva Threat Researchによると、APIは全ウェブトラフィックの71%を占めている。昨今、APIを標的とした攻撃はさらに急増しており、高度なボットトラフィックの44%がAPIを標的にしている。これに対し、ウェブアプリケーションを標的にしたものは10%dだった。
BOLAは、特定のデータに対するユーザーのアクセス権限をAPIが適切に検証できていない際に発生する。攻撃者はリクエストを操作することで、機密情報に不正にアクセスする。
Imperva Application Securityは、脅威検知エンジンと自動インラインレスポンス、運用オプションを統合している。これらにより、開発速度やユーザー体験に影響を及ぼすことなく、セキュリティチームがBOLAのようなAPI攻撃を検出・対応できるようになるそうだ。
この記事の著者
ペイメントナビ編集部
カード決済、PCI DSS、ICカード・ポイントカードの啓蒙ポータルサイト
