セキュリティ対策

このページは Apigee と Apigee ハイブリッドに適用されます。

Apigee Edge のドキュメントを表示する。

[セキュリティ対策] ページでは、[不正行為の検出] ページの情報に基づいて、検出されたトラフィックを Apigee が処理する方法を定義するセキュリティアクションを作成できます。たとえば、不正行為の発生源として識別された IP アドレスからのリクエストを拒否するセキュリティアクションを作成できます。対象のアドレスからのリクエストを受信すると、Apigee はリクエストが API へのアクセス権を取得することをブロックします。セキュリティアクションを作成して、指定した検出ルールでタグ付けされたリクエストを拒否することもできます。

拒否アクションに加えて、検出されたリクエストにヘッダーを追加するフラグアクションや、特定のケースで拒否アクションをオーバーライドする許可アクションを作成することもできます。セキュリティアクションをご覧ください。

セキュリティアクションのタスクを実行するために必要なロールについては、セキュリティアクションに必要なロールをご覧ください。

この機能を使用するには、アドオンを有効にする必要があります。サブスクリプションをご利用の場合は、組織のアドオンを有効にできます。詳細については、サブスクリプションを使用する組織の Advanced API Security を管理するをご覧ください。従量課金制をご利用の場合は、対象となる環境でアドオンを有効にできます。詳細については、Advanced API Security アドオンを管理するをご覧ください。

セキュリティアクションの仕組み

[セキュリティ対策] ページでは、特定のクライアントからのリクエストを明示的に許可、拒否、報告するためのアクションを実行できます。Apigee は、こうしたアクションを API プロキシが処理する前にリクエストに適用します。通常、リクエストが望ましくない動作のパターンに準拠している、または（許可アクションの場合）特定の IP アドレスに対して拒否アクションをオーバーライドする必要があることを理由として、アクションを実行します。

フラグアクションを使用すると、リクエストを API に渡すことができますが、最大 5 つのヘッダーをフラグ付きリクエストに追加するため、それらの動作を追跡できます。

対処するリクエストを特定するには、[不正行為の検出]、[検出されたトラフィック] または [インシデント] ビューを使用します。これにより、不正行為の発生源となっている IP アドレスが表示されます。それらの IP アドレスからのリクエストをブロックするためのアクションを実行できます。

セキュリティアクション

次の種類のセキュリティアクションが実行可能です。

操作	説明	優先順位
許可	拒否アクションによってブロックされる特定のリクエストを許可します。たとえば、検出ルールでタグ付けされたトラフィックを拒否するセキュリティアクションを作成したとします。信頼できる特定の IP アドレスからのリクエストに対して、許可アクションを作成して拒否アクションをオーバーライドできます。	1
拒否	アクションの条件を満たすすべてのリクエスト（例: 指定された IP アドレスからのリクエスト）をブロックします。リクエストを拒否することを選択すると、Apigee は選択可能なレスポンスコードでクライアントに応答します。	2
フラグ	アクションの条件を満たすリクエストを報告すると、バックエンドサービスが対処できるようになります。クライアントのリクエストにフラグを付けると、Apigee はユーザーが定義した最大 5 つのヘッダーをリクエストに追加します。バックエンドサービスは、これらのフラグに従って API 呼び出しを処理できます。たとえば、呼び出しを別のフローにリダイレクトできます。フラグアクションを使用すると、API 呼び出しが不審なことをバックエンドサービスに知らせることができます。	3

優先順位

リクエストが複数のセキュリティアクションの条件を満たす場合は、アクションの優先順位によって、実行されるアクションが決定されます。たとえば、リクエストが許可アクションと拒否アクションの両方の条件を満たしているとします。許可アクションの優先順位が 1 であり、拒否アクションの優先順位が 2 であるため、許可アクションが優先され、リクエストは API へのアクセスを許可されます。

たとえば、内部クライアントまたは信頼できるクライアントの IP アドレスからのリクエストは、それらのリクエストが別の拒否アクションと一致する場合でも、許可できます。優先順位によって、信頼できる IP アドレスの許可アクションが任意の拒否アクションをオーバーライドします。

セキュリティアクションの制限

セキュリティアクションは、Apigee 環境レベルで適用されます。環境ごとに、セキュリティアクションには次のような制限があります。

1 つの環境で一度に許可される有効なアクションは 1,000 件までです。
各アクションに最大 5 つのフラグヘッダーを追加できます。

レイテンシ

セキュリティアクションには、次のようなレイテンシがあります。

セキュリティアクションを作成してから、そのアクションが有効になるまでに最大 10 分かかることがあります。アクションが有効になり、なんらかの API トラフィックに適用されると、セキュリティアクションの詳細ページでアクションの効果を確認できます。注: アクションが有効になっていても、なんらかの API トラフィックに適用されていなければ、セキュリティアクションの詳細ページで効果を確認することはできません。
セキュリティアクションを有効にすると、API プロキシの応答時間がわずかに長くなります（2% 未満）。

[セキュリティアクション] ページを開く

[セキュリティアクション] ページを開くには:

Cloud コンソールで Apigee UI を開きます。
[Advanced API Security] > [Security actions] を選択します。

以下に示すように、これによってメインの [セキュリティアクション] ページが開きます。

[セキュリティアクション] ページでは、次のことができます。

新しいセキュリティアクションを作成する。
有効になっているすべてのセキュリティアクションを一時停止する。
アクションの行にあるその他メニューを使用して、個別のセキュリティアクションを有効または無効にする。

[セキュリティアクション] ページに、次の詳細とともにセキュリティアクションのリストが表示されます。

名前: アクションの名前。
ステータス: アクションのステータス。有効、一時停止、無効のいずれかです。
アクション: セキュリティアクション。
有効期限（UTC）: アクションの有効期限。
最終更新日時（UTC）: アクションが最後に更新された日時。
セキュリティアクションを有効または無効にできるその他メニュー。これを行うには、アクションの行にあるメニューをクリックして [有効にする] または [無効にする] を選択します。セキュリティアクションを無効にしても、API リクエストには影響しません。

セキュリティアクションを作成する

このセクションでは、セキュリティアクションを作成する方法について説明します。作成したセキュリティアクションは削除できないことに留意してください。アクションを（強制適用されないように）無効にできますが、Apigee UI に表示されます。

新しいセキュリティアクションを作成するには:

[セキュリティ対策] ページの上部にある [作成] をクリックして、以下に示すように [セキュリティアクションの作成] ダイアログを開きます。
[全般設定] で次の設定を入力します。
- 名前: セキュリティアクションの名前。
- 説明（省略可）: アクションの簡単な説明。
- 環境: セキュリティアクションを作成する環境。
- 有効期限: アクションが期限切れになる日時（設定する場合）。[なし] と [カスタム] のいずれかを選択してから、アクションを期限切れにする日時を入力します。タイムゾーンを変更することもできます。
以下に示すように、[次へ] をクリックして [ルール] セクションを表示します。

このセクションでは、セキュリティアクションのルールを作成します。次のように入力します。
- アクションタイプ: セキュリティアクションのタイプ。次のいずれかです。
  - 許可: リクエストが許可されます。
  - 拒否: リクエストは拒否されます。[拒否] を選択した場合は、リクエストが拒否されたときに返されるレスポンスコードも指定できます。このコードは次のいずれかです。
    - 事前定義: HTTP コードを選択します。
    - カスタム: レスポンスコードを入力します。
  - フラグ: リクエストは許可されますが、リクエストに特別な処理が必要であるかどうかをプロキシが判断するために使用する特別な HTTP ヘッダーでもフラグが設定されます。ヘッダーを定義するには、[ヘッダー] で次のようにします。[フラグ] を選択した場合は、[ヘッダー] で以下の対象も作成できます。
    - ヘッダー名
    - ヘッダー値
- 条件: セキュリティアクションが実行される際の条件。[新しい条件] に次のように入力します。
  - 条件タイプ: [検出ルール] または次の属性のいずれかです。
    - IP アドレス
    - API キー
    - API プロダクト
    - アクセストークン
    - デベロッパー
    - デベロッパーアプリ
    - ユーザーエージェント
    注:
    - 条件タイプが [検出ルール] と [IP アドレス] の場合、これらのタイプの条件を 2 つまで作成できます。他の条件タイプの場合は、作成できる条件は 1 つだけです。
    - 上記の属性（[検出ルール] または [IP アドレス] 以外）を使用するには、Verify API Key ポリシーまたは OAuthV2 ポリシーを追加する必要があります。詳しくは、API キーの仕組みをご覧ください。
    - 現時点で Apigee Hybrid で使用できない条件は、API キー、API プロダクト、アクセストークン、デベロッパー、デベロッパーアプリ、ユーザーエージェントです。
  - 値: 次のいずれかを入力します。
    - [条件タイプ] が [検出ルール] の場合は、適用するセキュリティアクションに対してリクエストによりトリガーされる必要がある検出ルールのセットを選択します。
    - [条件タイプ] が属性の場合は、セキュリティアクションを適用する属性の値を入力します。たとえば、属性が [IP アドレス] の場合は、セキュリティアクションを適用するリクエストの送信元の IP アドレスを入力します。IPv4 アドレスと IPv6 アドレスのいずれかのカンマ区切りのリストを入力できます。
[作成] をクリックして、セキュリティアクションを作成します。

有効なすべてのアクションを一時停止する

有効なすべてのセキュリティアクションを一時停止するには、[セキュリティ対策] ページの上部にある [有効なアクションを一時停止] をクリックします。セキュリティアクションが一時停止されても、API リクエストには影響しません。すべてのセキュリティアクションに関する問題を診断する必要がある場合は、この機能を使用します。個々のセキュリティアクションを無効にするには、セキュリティアクションの行にあるその他メニューを使用します。

有効にしたすべてのセキュリティアクションを再開するには、[一時停止したアクションを再開] をクリックします。

セキュリティアクションの詳細を表示する

セキュリティアクションに関連する最近の API トラフィックデータを表示するには、メインの [セキュリティ対策] ページでセキュリティアクションの行を選択します。セキュリティアクションの詳細ページが表示されます。これには、次の 2 つのタブがあります。

概要

[概要] タブを選択して、[概要] ページを表示します。

[概要] ページには、ページの上部で選択した期間（12 時間、1 日、1 週間、2 週間）での最近の API トラフィックに関する情報が表示されます。

ページには、次のトラフィックデータが表示されます。

アクションタイプ: アクションのタイプ。拒否、許可、またはフラグ。
環境の合計トラフィック: 環境内のリクエストの合計数。
検出された合計イベントトラフィック: イベントに関連するリクエストの数。
アクションの影響を受けた合計トラフィック:
- 拒否アクションに関して、拒否されたリクエストの数。
- フラグアクションに関して、フラグが付けられたリクエストの数。
- 許可アクションに関して、許可されたリクエストの数。

このページには次のグラフも表示されます。

環境トラフィックの傾向: 検出されたトラフィック、フラグが付けられたトラフィック、環境のトラフィックの合計のグラフ。上述の説明をご確認ください。
上位のルール
上位の国
アクションの詳細

属性

[属性] タブを選択して、[属性] ページを表示します。

[属性] ページには、セキュリティ属性のデータが属性（ディメンション）別に表示されます。これはデータのグループ化であり、さまざまな方法でセキュリティアクションを表示できます。たとえば、API プロダクト属性によって、API プロダクトごとにセキュリティアクションを表示できます。

[属性] ページに表示される情報は、不正行為検出の [インシデントの詳細] ページの [属性] ビューと類似しています。

セキュリティ対策

セキュリティ アクションの仕組み

セキュリティ アクション

優先順位

セキュリティ アクションの制限