APIのセキュリティ、脅威の現状と対策の進め方

今回は「APIのセキュリティ、脅威の現状と対策の進め方」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 APIは、DXによる企業のシステムモダナイゼーション(システム最新化)やクラウド利用の拡大に伴って利用が広がり、セキュリティ対策の必要性も高まっているという。米Akamai TechnologiesでAPIセキュリティを担当するバイスプレジデントのGiora Engel氏に脅威の現状と対策の進め方を聞いた。

 同社は、APIセキュリティのビジネス強化を目的に、2023年にAPIセキュリティ企業のNeosecを買収した。イスラエル国防軍出身というEngel氏は、Neosecの共同創業者でAkamaiによる買収まで最高経営責任者(CEO)を務めた。Neosec以前には、行動分析によるエンドポイントおよびネットワークのセキュリティ企業LightCyberを創業。LightCyberは、Palo Alto Networksに買収され、Engel氏は同社でプロダクトマネージメント担当バイスプレジデントも務めた。

 APIに対する脅威の現状についてEngel氏は、量と質の2つの面から理解する必要があると説明する。量的な観点では、日本を含むアジア太平洋地域のウェブアプリケーション対する攻撃において、2023年12月時点で約21%をAPIが占めた。

 また、2023年通期の業界別の割合では製造が31.2%で最も多く、次いでゲームの25.2%、ハイテクの24.4%、映像メディアの24.0%、コマースの22.3%などとなっている。これらの数字は、Akamaiの顧客企業に対する脅威の実態だという。

 質的な観点についてEngel氏は、API利用の変化を指摘する。

 「かつては1つか2つのモバイルとウェブアプリケーションの接続だったが、今日ではその範囲が拡大し、マイクロサービス化が進んでいる。その多くは企業間取引やIoTなどマシン間接続であり、システムの深いレベルでも接続し、コアなデータに触れる。それに伴いアタックサーフェス(攻撃対象領域)は、表面的なアプリケーション間通信よりも深い領域に及んでいる」

 Engel氏の見解では、こうした現状をもたらしている主な要因がDXになる。特にコロナ禍でオンライン化が加速し、ビジネスでの重要性が高まり、ネットワーク領域の技術の1つであるAPIへの脅威がクリティカルなビジネスリスクになった。

 同氏は、「Neosecの創業時に多くの企業幹部やセキュリティリーダーらと会話した。開発が非常に多様化し、ビジネスがデジタル化し、企業が多様な消費者、顧客、パートナーと接続しなければならない状況が生じ、企業のインターフェースが一気に開放され、APIがセキュリティにおける最大のギャップになっていることを痛感した」と述べる。

 サイバー攻撃者がAPIを狙う理由は、APIがシステムやデータへ不正アクセスするための経路になるからだ。APIのセキュリティ対策の基本は、適切な認可・認証の実施による不正アクセスの阻止だが、APIへの攻撃手法が高度化しており、Akamaiは「オブジェクトレベルの認可の不備」(Broken Object Level Authorization:BOLA)が現在における脅威の1つだと指摘している。

 BOLAは、攻撃者がAPIリクエスト内の送信オブジェクトのIDを細工することで、本来許可されていないオブジェクトにアクセスできてしまえる脆弱(ぜいじゃく)性になる。これによって攻撃者は、正規ユーザーなどになりすますことができ、システムやデータに不正アクセスを行い、悪意ある行為を実行したり情報を窃取したりすることが可能になる。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
アップル、ウクライナ侵攻にともないロシアでの製品販売を中止
IT関連
2022-03-03 17:37
日立ら、デジタルツインの構築と実証開始–パーソナルモビリティーの自律走行へ
IT関連
2022-08-10 17:04
Sansan、インボイス管理サービス「Bill One」で「発注データ照合オプション」提供
IT関連
2023-07-25 17:02
シャープ、量子アニーリングで1000台規模のAMRを制御する技術を開発
IT関連
2024-09-04 11:25
2025年は大半の企業がIT支出の増加を予定–積極的なコスト削減も計画
IT関連
2024-11-29 19:57
AI契約管理システム「LegalForceキャビネ」にフラグ付け機能–リスクある契約の把握を容易に
IT関連
2022-02-26 15:40
LinkedIn、生成AIによる投稿作成支援機能のテストを開始へ
IT関連
2023-06-27 15:02
デジタルトランスフォーメーション:バリューを最大化する予算配分を実現するためのヒント
IT関連
2021-08-10 05:31
成熟した国内AIシステム市場は生成AIで再成長か–IDCが予測
IT関連
2023-04-30 02:38
職業としてのセキュリティ–人材バブルの最大要因とそれを象徴する事件
IT関連
2023-08-05 16:24
DX時代を切り開く–エッジAIの可能性とは(後編)
IT関連
2022-09-29 01:05
日建学院、顔認証による出席管理システムを導入–三信電気が支援
IT関連
2025-01-10 19:46
ウクライナ紛争が米国のサイバーセキュリティを脅かす理由
IT関連
2022-02-04 19:57
キヤノンITS、需要・需給計画システムに外部データ活用機能を搭載
IT関連
2022-06-29 03:15