CTC、米CequenceのAPIセキュリティ製品を用いた「Managed API Securityアセスメントサービス」

　伊藤忠テクノソリューションズ株式会社（以下、CTC）は22日、APIのセキュリティソリューションを展開する米Cequence Security（以下、Cequence）と、国内初となる販売代理店契約を締結したと発表した。これに伴いCTCでは、セキュアなAPI環境の実現を支援する「Managed API Securityアセスメントサービス」を、同日より提供開始する。

　Cequenceが提供するAPIセキュリティプラットフォームは、APIの可視化や監視、脅威への防御を行えるソリューション。従業員が許可なく連携してしまう“シャドーAPI”を含めた、自社システムの全体像を可視化し、リアルタイム監視から脅威に対する防御、緩和までを包括的に行えるという。

　さらに、AI（機械学習）の活用で、APIを通した未知の悪意のある連携にも対応。Webアプリケーションのセキュリティリスクのリスト「OWASP Top 10」での脆弱性や、クレジットカードのセキュリティ基準「PCI DSS」にも対応しており、クラウド、オンプレミス、ハイブリッドといった、さまざまな環境でのAPIに対するデータ漏えいや不正アクセスを防止するとのこと。

　CTCが今回提供する「Managed API Securityアセスメントサービス」は、CequenceのAPIセキュリティプラットフォームを用いた診断サービスで、CTCのエンジニアがヒアリングと調査を行い、自社システムのAPIの連携状態や課題を洗い出して、APIのセキュリティリスクを可視化する。また、サイバー攻撃の対象となり得る経路を確認した後、API連携における脅威の分析とリスク軽減策の検討を行うとともに、企業のニーズに応じて、APIセキュリティプラットフォームの導入を含めたさまざまな対策の提案を行うとした。

　なお具体的なメニューとしては、企業のAPIアタックサーフェスを発見する「API Attack Surface Discovery」や、APIインベントリー作成とリスク分析を行う「API Inventory ＆ Risk」、API機微情報を露出しているエンドポイントの特定とリスク分析が可能な「API Sensitive Data Exposure」、APIに対するセキュリティテストを実施する「API Security Testing」、APIに対する脅威の分析と緩和対策の分析を行う「API Threat Protection」などを用意した。

　価格はすべて個別見積もり。CTCではこれらのサービスについて、通信事業や金融業、官公庁を中心に展開し、3年間で5億円の売上を目指している。