APIコールがデジタル時代を牽引、セキュリティリスクと戦う企業の挑戦

Last Updated on 2024-03-20 12:06 by 荒木 啓介

APIはデジタル近代化を推進し、アプリケーションやデータベース間でのデータ交換を効果的に行っている。2023年にはインターネットトラフィックの71%がAPIコールであり、企業のウェブサイトでは平均15億のAPIコールが行われていた。APIの数は急増しており、613のAPIエンドポイントが本番環境に存在するが、セキュリティ専門家にとっては懸念の要素であり、サイバー犯罪者にとっては攻撃経路となっている。

API関連のセキュリティインシデントは年間750億ドルの損失を世界のビジネスにもたらしており、特に銀行業界とオンライン小売業界でAPIコールのボリュームが高い。アカウント乗っ取り（ATO）攻撃はAPIエンドポイントを標的としており、その約半数がAPIを介して行われている。これらの攻撃は顧客アカウントへのアクセス拒否や機密データの漏洩などのリスクをもたらす。

APIのセキュリティリスクは、開発の速度とセキュリティチームとの協力不足から生じており、10個に1つのAPIが攻撃の脆弱性を持っている。シャドウAPI、非推奨API、非認証APIはセキュリティリスクをもたらす主なタイプである。これらのリスクを軽減するためには、定期的な監査やエンドポイントの更新、アップグレードが推奨されている。

ImpervaはAPIセキュリティの向上のために、全てのAPIやエンドポイントの発見・分類・インベントリ登録、リスク評価、監視システムの確立、そしてWeb Application Firewall（WAF）、API Protection、DDoS防御、Bot Protectionを統合したセキュリティアプローチの採用を推奨している。これらの対策により、APIに関連する脅威に対して柔軟かつ高度な保護が提供される。

【ニュース解説】

API（Application Programming Interfaces）は、アプリケーションやデータベース間でデータを効率的に交換するための重要な役割を果たしています。2023年のデータによると、インターネットトラフィックの大部分（71%）がAPIコールによるものであり、企業のウェブサイトでは平均で15億回のAPIコールが行われていることが明らかになりました。このようなAPIの普及は、デジタルサービスの提供を迅速かつ効率的に行うための圧力の下で、APIエンドポイントの数が急速に増加していることを示しています。

しかし、このAPIの普及には裏面があります。APIはサイバー犯罪者にとって、機密データへの直接的なアクセス経路となるため、共通の攻撃対象となっています。特に、銀行業界やオンライン小売業界ではAPIコールのボリュームが高く、これらの業界はAPI関連の攻撃の主な標的となっています。アカウント乗っ取り（ATO）攻撃は、APIの認証プロセスの脆弱性を悪用して不正アクセスを試みる一般的な攻撃方法であり、これらの攻撃の約半数がAPIエンドポイントを標的にしています。

APIのセキュリティリスクを管理することは、ソフトウェア開発の速度とセキュリティチームとの協力不足により、困難な課題となっています。シャドウAPI、非推奨API、非認証APIは、適切に管理されていないAPIエンドポイントの主なタイプであり、これらは組織にとってセキュリティリスクをもたらします。これらのリスクを軽減するためには、定期的な監査やエンドポイントの更新、アップグレードが必要です。

Impervaは、APIセキュリティの向上のために、全てのAPIやエンドポイントの発見・分類・インベントリ登録、リスク評価、監視システムの確立、そしてWeb Application Firewall（WAF）、API Protection、DDoS防御、Bot Protectionを統合したセキュリティアプローチの採用を推奨しています。これらの対策は、APIに関連する脅威に対して柔軟かつ高度な保護を提供し、ビジネスロジック攻撃などの複雑な脅威に対処するためのものです。

このように、APIは現代のデジタル化を推進する上で不可欠な要素でありながら、セキュリティリスクの源泉ともなっています。そのため、APIのセキュリティを確保することは、企業にとって重要な課題となっています。適切な管理と保護策を講じることで、これらのリスクを最小限に抑え、デジタルサービスの安全な提供を実現することが可能です。

from APIs Drive the Majority of Internet Traffic and Cybercriminals are Taking Advantage.