Promon App Attestation - API 保護

English -> Visit Promon Web Page

APIは本質的に攻撃に対して脆弱である

API はアプリケーションにとって不可欠ですが、脅威アクターがサービスを利用して悪用する簡単な方法も提供します。API キーまたは認証情報をアプリケーション コードにハードコーディングすることは、API が脆弱になる最も一般的な 4 つの方法の 1 つです。API がパブリック ドメインに漏洩すると、企業は収益、サービスのダウンタイム、ブランドの評判に大きな損失を被る可能性があります。

API に接続する不正なアプリは悪用される傾向があり、違反、コンプライアンス違反、ユーザーの信頼の喪失につながります。保護されていないアプリは、攻撃者によって変更され、機密データが盗まれたり、マルウェアやその他の攻撃のベクトルとして使用されたりする可能性があります。そのため、データ侵害を防ぐためには、API 保護が不可欠です。

78%

一見正当なユーザーからだが、実際には悪意を持って認証を獲得した攻撃者によるAPI攻撃の数

35%

APIを標的としたアカウント乗っ取り攻撃の件数

710億ドル

不十分なAPI保護による年間最大コスト

Promon App Attestation™ が API とアプリをリアルタイムで保護

Promon SHIELD™ App Attestation モジュールは、API にアクセスするモバイル アプリの整合性と信頼性をリアルタイムで検証し、侵害や改ざんが行われていないことを確認するのに役立ちます。App Attestation では、チャレンジ レスポンス メカニズムを使用して、安全なデバイス上の正規のアプリケーションが API 呼び出しを行っていることを確認します。

各チャレンジレスポンスは一意であるため、ハッカーによる悪用が困難になり、リプレイ攻撃のリスクが軽減されます。Promon SHIELD™ App Attestation により、API とそのキーが漏洩した場合でも心配する必要がなくなります。

クリックしてPromon-SHIELDTM-App-Attestation-datasheet.pdfにアクセス

アプリとAPIのセキュリティを強化する

  • 不正なモバイル アプリやサーバーが正当なソースになりすますのを阻止します。App Attestation モジュールは、顧客の API へのアクセスが検証済みのモバイル アプリからのみ行われるようにし、API インジェクションやデータ改ざんなどの攻撃を防止します。
  • App Attestation を使用して、規制上の制約に影響を与えることなく API 接続を保護します。
  • セキュリティとプライバシーへの取り組みを示し、体系的な攻撃や詐欺のリスクを軽減します。組織はコストのかかる侵害やハッキング事件を回避できるため、ユーザーの信頼を高めることができます。

ニーズに合わせてカスタマイズできるPromon App Attestation™

ゲーム用

フレンドリー詐欺から保護し、不正なアプリ接続をリアルタイムで迅速に検出してブロックし、ゲームの公正なゲームプレイを保証します。Promon App Attestation™ は、ゲーム アプリの API へのフィルタリングされたアクセスを提供し、非正規のアプリがサーバーに接続しようとした場合に対処できるようにします。

銀行業務とオープンバンキング向け

銀行またはフィンテック アプリケーションの整合性と信頼性を検証し、信頼できるバージョンのアプリのみがサーバーと通信できるようにします。Promon App Attestation™ は、アプリとさまざまな金融機関のサーバー間の通信のセキュリティと整合性を確保し、不正アクセスやデータ盗難を防止します。

ストリーミング用

ストリーミング コンテンツを安全に保ち、正当なチャネルからのみアクセスできるようにすることで、不正な配信や著作権侵害を防止します。たとえば、PromonApp Attestation™ を使用すると、DRM キーが漏洩した場合でも、API にアクセスできるのは保護された変更されていないアプリケーションのみであるため、サーバー側での DRM 侵害が減少します。

電子商取引向け

不正な取引、アカウントの乗っ取り、個人情報の盗難からビジネスを保護し、紛争やチャージバックのリスクを最小限に抑えます。このモジュールは、アプリの整合性と信頼性をリアルタイムで徹底的に検証することで、アプリと e コマース プラットフォームの API の間に安全で信頼できる接続を確立します。

Promon App Attestation™ を使用すると:

静的アプリ認証から動的アプリ認証への移行

Google と Apple の認証アプローチはアプリ起動時のセッションベースの検証に限定されていますが、Promon App Attestation™ はトランザクションベースの継続的な検証を提供します。これにより、モバイル アプリが API に接続している間、安全で変更されていない環境で実行されることが保証されます。リアルタイム検証により、このモジュールはセキュリティを強化し、潜在的な改ざんに対する保護を提供し、アプリとデータの保護を強化します。

認証を超えて実行時にアプリを保護する

Promon SHIELD™ で保護されたアプリは、アプリが侵害されていないという保証が組み込まれた状態でサーバー側で認証します。Google Play の整合性および署名サービスと Apple のアプリ証明サービスは、アプリケーションが改ざんされたかどうかをチェックせず、デバイスの整合性も検証しませんが、アプリ証明モジュールを備えた Promon SHIELD™ は、アプリとデバイスの整合性も検証します。

完全なコントロールを実現

Promon App Attestation™ は完全に自己完結型で、iOS アプリと Android アプリの認証に同じメカニズムを提供します。認証プロセスは、外部サービスや別のチャネルに依存せずにアプリ内で実行されます。これにより、外部の可用性に依存しないこと、プロセスに対する制御の強化、傍受や改ざんのリスクの軽減などの利点が得られます。

API保護を強化する方法

アプリ認証による包括的な API 保護の提供に加えて、ホワイトボックスを基盤とした当社のセキュリティ ソリューションは、API 保護をさらに強化するのに役立ちます。

SAROM は Promon SHIELD™ のモジュールです。どのモバイル プラットフォームでも解決が難しい課題に対するシンプルなソリューションを提供します。SAROM は公開されたアプリ内の特定の資産を保護するのに役立ちます。

Promon SHIELD™ は、セキュア ローカル ストレージ (Secure Local Storage – SLS) をモジュールとして提供します。これにより、アプリ開発者はアプリ シークレットをエンド ユーザーのデバイスにローカルに保存できるようになります。アプリ シークレットの例としては、セッション トークン、個人を特定できる情報、API キーなどがあります。

  • SLS を使用すると、デバイスがルート化またはジェイルブレイクされている場合でも、デバイス上で安全に暗号化されたデータを保存できます。
  • セキュア アプリケーション ROM (Secure application ROM – SAROM) は、公開されたアプリ内で固定のアプリ シークレットを安全に保持します。

もっと詳しく知る
https://promon.co/products/secure-sensitive-app-data?hsLang=en

API保護

Gartner は、Web およびモバイル アプリケーションで API キーやその他の認証情報をハードコーディングすることは、重大な API の脆弱性であると述べています。この方法では、これらの秘密が逆コンパイル攻撃に対して脆弱になります。

GARTNER. “API SECURITY: WHAT YOU NEED TO DO TO PROTECT YOUR APIS.” MARK O’NEILL, DIONISIO ZUMERLE, JEREMY D’HOINNE