Last Updated on 2024-05-02 08:31 by 荒木 啓介
組織がAPIセキュリティを強化する際、管理されていないまたはシャドウアプリケーションプログラミングインターフェース(API)に特に注意が必要である。シャドウAPIとは、使用されていない、時代遅れ、または文書化されていないために積極的に管理されていないWebサービスのエンドポイントである。アプリケーションとセキュリティチームは、これらのAPIを見つけ出し、文書化するか、廃止することで、提示される重大なリスクを軽減する必要がある。
APIセキュリティは、ITおよびセキュリティリーダーにとってますます重要な課題となっている。多くの組織がビジネスプロセスを合理化し、運用効率を向上させるためにAPIを広範囲に展開している。APIは、レガシーアプリケーションの近代化、クラウドサービスの採用、顧客やパートナーとの効率的なエンゲージメントを可能にすることで、デジタル変革イニシアチブを支える中心的な役割を果たしている。
APIの普及により、多くの組織の攻撃対象領域が大幅に拡大し、リスクが高まっている。Akamaiの研究によると、2023年のすべてのWeb攻撃の29%がAPIを対象としていた。攻撃者は、SQLインジェクション、クロスサイトスクリプティング、セッションハイジャック/操作、データ収集攻撃などの一般的な攻撃ベクトルを使用している。
組織が直面するAPIセキュリティの課題は、姿勢関連とランタイム関連の2つの広いカテゴリーに分類される。姿勢関連の問題は、シャドウAPIなどの実装の弱点から生じる。Cequence Securityの2022年10月の研究報告書は、すべての悪意のあるリクエストの31%以上が未知および管理されていないAPIを対象としていることを特定した。
組織は、API環境に対する適切な可視性を確保し、シャドウAPIを検出して廃止するだけでなく、APIのインベントリを維持し、API姿勢を強化し、脅威検出と対応能力を強化し、API脅威ハンティング能力を確立する必要がある。
【ニュース解説】
組織が直面する重要なサイバーセキュリティの課題の一つに、管理されていない、または「シャドウ」と呼ばれるアプリケーションプログラミングインターフェース(API)があります。これらは、使用されなくなった、時代遅れの、または文書化されていないWebサービスのエンドポイントで、積極的に管理されていません。組織は、これらのシャドウAPIを特定し、それらを文書化するか、または廃止することで、セキュリティリスクを軽減する必要があります。
APIは、異なるシステム、アプリケーション、サービス間の統合を容易にするために広く展開されています。これにより、ビジネスプロセスの合理化、運用効率の向上、レガシーアプリケーションの近代化、クラウドサービスの採用、顧客やパートナーとのより効率的なエンゲージメントが可能になります。しかし、APIの普及は、組織の攻撃対象領域を大幅に拡大し、セキュリティリスクを高める結果となっています。
APIを対象とした攻撃は増加しており、Akamaiの研究によると、2023年のすべてのWeb攻撃の約29%がAPIを狙っていました。特に、eコマースセクターでは、Web攻撃の44%以上がAPIを対象としており、ビジネスサービス組織やヘルスケア組織でも、それぞれ32%、19%のWebアプリケーション攻撃がAPIに関連していました。
組織がAPIセキュリティに直面する課題は、主に姿勢関連とランタイム関連の2つのカテゴリーに分けられます。姿勢関連の問題は、シャドウAPIのような実装の弱点に起因します。一方、ランタイムの問題は、アクティブな脅威、例えば、認証されていないAPIリソースへのアクセス試みや、予期しないJSONペイロードを伴うAPIアクティビティなどです。
このような背景から、組織はAPI環境に対する適切な可視性を確保し、シャドウAPIを特定して廃止すること、APIのインベントリを維持すること、APIのセキュリティ姿勢を強化すること、脅威検出と対応能力を強化すること、そしてAPI脅威ハンティング能力を確立することが求められます。
この取り組みは、組織がデジタル変革を進める上で不可欠なAPIの安全性を確保し、サイバーセキュリティリスクを軽減するために重要です。しかし、これらの対策を実施するには、技術的な知識とリソースが必要であり、組織にとっては大きな挑戦となります。また、シャドウAPIの特定と管理は、継続的な監視と評価を必要とするため、セキュリティ体制の強化には時間と労力がかかります。それにもかかわらず、APIセキュリティの強化は、サイバー攻撃から組織を守るために不可欠な取り組みです。
