エンド・ツー・エンドのAPIセキュリティ

API Scannerのテストはステージング環境でのみ行うことをお勧めします。なぜなら、実際に起こりうる（そしてアプリをダウンさせる可能性のある）激しい攻撃をシミュレートしているからです。

ファジングとは、不正または予期しない入力を大量にAPIに送信し、入力検証の失敗、バッファオーバーフロー、インジェクション攻撃、その他のセキュリティ上の欠陥といった潜在的な脆弱性を検出するためのテスト手法です。

APIファジングの目的は、攻撃者に悪用される可能性のあるAPIの実装の弱点や脆弱性を発見することである。予期しない、あるいは不適切にフォーマットされたデータを注入することによって、ファジングはAPIが入力を処理する方法における欠陥や意図しない動作を明らかにすることができる。このアプローチは、攻撃者がシステムを侵害するために利用するかもしれないセキュリティリスクを特定するのに役立ちます。

当社のLLMでお客様のSwagger (OpenAPI) ドキュメントを分析することにより、お客様のAPIのスキーマと期待される入力に合わせた意味のあるデータ例を生成することができます。この生成されたデータは、脆弱性を発見するためのファジングテスト（DAST）で使用されます。

現在、RESTとGraphQLに対応しています。APIはしばしば、従来のAIモデルでは処理が難しい循環参照のような、複雑で型にとらわれないデータ形式を含んでいます。Aikidoは、インテリジェントなグラフチェックシステムでこれを解決し、大規模言語モデル（LLM）によるシームレスな処理を保証するために、循環チェーンを切断します。 

さらに、当社のアプリ内ファイアウォールであるZenと組み合わせて使用すると、Aikido Swaggerドキュメントを自動作成することができ、新しく作成されたAPIエンドポイントを自動的にドキュメント化し、脆弱性をテストすることができます。

Zen すべてのプランに含まれています。詳しくは料金ページをご覧ください。

そうですね。私たちのシステムは、手動ペンテスターと比較して、より多くの（または他の）問題を発見することがよくあります。私たちはAPIスキャナーの完全性を信頼していますが、人間の独創的なアプローチが、時折、追加的な問題やユニークな問題を発見することがあることをお忘れなく。

はい！エンタープライズグレードのAPIスキャナとは異なり、Aikidoのソリューションは、大規模なインフラや最新のドキュメントを必要とせずに動作します。適切なSwaggerドキュメント/OpenAPI仕様が不足している場合は、当社のアプリ内ファイアウォールZenを稼働させるだけで対応できます。

当社のアプリ内ファイアウォールを使用できない（または使用したくない）場合は、APIスキャナを動作させるためにAPIドキュメントを提供する必要があります。