機密性の高いビジネスフロー 
¶
機密性の高いビジネスフロー機能により、WallarmのAPI Discoveryは、認証、アカウント管理、課金などのビジネスフローや機能にとって重要なエンドポイントを自動的に特定します。本記事では、機密性の高いビジネスフロー機能の使い方を説明します。
NGINX Node 5.2.11またはNative Node 0.10.1以上が必要です。
対象となる課題¶
機密性の高いビジネスフローの乱用は、OWASP API Top 10のリスクの中で6位(API6)に位置づけられています。これらのビジネスフローを保護することで、事業継続性を確保し、機密データの漏えい、評判リスク、金銭的損害を防ぎます。
機密性の高いビジネスフロー機能により、Wallarmはビジネスクリティカルな機能の健全性を可視化し、次のことに役立ちます:
-
機密性の高いビジネスフローに関連するエンドポイントを、脆弱性や侵害の観点から定期的に監視および監査します。
-
開発・保守・セキュリティ対応における優先順位付けを行います。
-
より強固なセキュリティ対策(例: 暗号化、認証、アクセス制御、レート制限)を実装します。
-
監査証跡やデータ保護対策の証拠を容易に作成します。
自動タグ付け¶
利便性のため、API Discoveryはエンドポイントを機密性の高いビジネスフローに自動でタグ付けします。新しいエンドポイントを検出すると、そのエンドポイントが1つ以上の機密性の高いビジネスフローに該当する可能性があるかどうかを確認します:
-
AI/LLM (artificial intelligence/large language models) flows - requests/endpoints/parameters related to the systems that use ML models, neural networks, chatbots or systems that in turn access some paid third-party AI services, such as OpenAI.
-
Acc create (account creation) and Acc mgmt (account management) flows - the key administrative flows relating to your applications.
-
Admin (administrative) flows - requests/endpoints/parameters related to applications' administrative functions and activities. Such requests/endpoints/parameters are usually targeted by attackers in order to access functionality intended for privileged users only (BFLA), escalate privileges and gaining control over the system.
-
Auth (authentication) flows - requests/endpoints/parameters critical to access control, as they verify user identity and manage permissions. As the entry point to the app, they are often the first target for attackers seeking to bypass security, gain unauthorized access, and take over accounts.
-
Billing flows - sensitive due to usage and possible breach of critical personal financial data and susceptible to fraud.
-
SMS GW (SMS gateway) flows - requests/endpoints/parameters sensitive because attackers can exploit them in SMS pumping attacks, flooding them with messages to inflate costs. Since these requests/endpoints/parameters are connected to API gateways and payment systems, this can lead to financial loss and system overload.
自動チェックは、エンドポイントURL内のキーワードを用いて実行されます。例えば、payment、subscription、purchaseといったキーワードは、そのエンドポイントをBillingフローに自動的に関連付けます。一方、auth、token、loginといったキーワードはAuthenticationフローに関連付けます。一致が検出された場合、エンドポイントは適切なフローに自動的に割り当てられます。
自動タグ付けにより、多くの機密性の高いビジネスフローが検出されます。ただし、以下のセクションのとおり、割り当てられたビジネスフローの一覧は手動で調整することも可能です。
エンドポイントの手動タグ付け¶
自動タグ付けの結果を調整するには、そのエンドポイントが属する機密性の高いビジネスフローの一覧を手動で編集できます。キーワード一覧に直接該当しないエンドポイントにも、手動でタグ付けできます。
エンドポイントが属するフローの一覧を編集するには、Wallarm ConsoleでAPI Discoveryに移動し、対象のエンドポイントのBusiness flow & sensitive dataで、リストから1つ以上のフローを選択します。
エンドポイントの詳細画面でも同様の操作ができます。
API Sessionsにおけるビジネスフロー¶
WallarmのAPI Sessionsは、ユーザー活動の全シーケンスを提供し、攻撃者のロジックをより可視化するために使用します。セッション内のリクエストが、API Discoveryで特定の機密性の高いビジネスフローにとって重要とタグ付けされたエンドポイントに影響する場合、そのセッションにも同じビジネスフローに影響するものとして自動的にタグ付けされます。
セッションに機密性の高いビジネスフローのタグが付与されると、特定のビジネスフローでフィルタリングできるようになり、分析対象として重要なセッションを選びやすくなります。
ビジネスフローによるフィルタリング¶
エンドポイントに機密性の高いビジネスフローのタグが付与されると、検出されたすべてのエンドポイントを特定のビジネスフローでフィルタリングできるようになり(Business flowフィルター)、最も重要なビジネス機能の保護を容易にします。
