APIのセキュリティ、脅威の現状と対策の進め方

今回は「APIのセキュリティ、脅威の現状と対策の進め方」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 APIは、DXによる企業のシステムモダナイゼーション(システム最新化)やクラウド利用の拡大に伴って利用が広がり、セキュリティ対策の必要性も高まっているという。米Akamai TechnologiesでAPIセキュリティを担当するバイスプレジデントのGiora Engel氏に脅威の現状と対策の進め方を聞いた。

 同社は、APIセキュリティのビジネス強化を目的に、2023年にAPIセキュリティ企業のNeosecを買収した。イスラエル国防軍出身というEngel氏は、Neosecの共同創業者でAkamaiによる買収まで最高経営責任者(CEO)を務めた。Neosec以前には、行動分析によるエンドポイントおよびネットワークのセキュリティ企業LightCyberを創業。LightCyberは、Palo Alto Networksに買収され、Engel氏は同社でプロダクトマネージメント担当バイスプレジデントも務めた。

 APIに対する脅威の現状についてEngel氏は、量と質の2つの面から理解する必要があると説明する。量的な観点では、日本を含むアジア太平洋地域のウェブアプリケーション対する攻撃において、2023年12月時点で約21%をAPIが占めた。

 また、2023年通期の業界別の割合では製造が31.2%で最も多く、次いでゲームの25.2%、ハイテクの24.4%、映像メディアの24.0%、コマースの22.3%などとなっている。これらの数字は、Akamaiの顧客企業に対する脅威の実態だという。

 質的な観点についてEngel氏は、API利用の変化を指摘する。

 「かつては1つか2つのモバイルとウェブアプリケーションの接続だったが、今日ではその範囲が拡大し、マイクロサービス化が進んでいる。その多くは企業間取引やIoTなどマシン間接続であり、システムの深いレベルでも接続し、コアなデータに触れる。それに伴いアタックサーフェス(攻撃対象領域)は、表面的なアプリケーション間通信よりも深い領域に及んでいる」

 Engel氏の見解では、こうした現状をもたらしている主な要因がDXになる。特にコロナ禍でオンライン化が加速し、ビジネスでの重要性が高まり、ネットワーク領域の技術の1つであるAPIへの脅威がクリティカルなビジネスリスクになった。

 同氏は、「Neosecの創業時に多くの企業幹部やセキュリティリーダーらと会話した。開発が非常に多様化し、ビジネスがデジタル化し、企業が多様な消費者、顧客、パートナーと接続しなければならない状況が生じ、企業のインターフェースが一気に開放され、APIがセキュリティにおける最大のギャップになっていることを痛感した」と述べる。

 サイバー攻撃者がAPIを狙う理由は、APIがシステムやデータへ不正アクセスするための経路になるからだ。APIのセキュリティ対策の基本は、適切な認可・認証の実施による不正アクセスの阻止だが、APIへの攻撃手法が高度化しており、Akamaiは「オブジェクトレベルの認可の不備」(Broken Object Level Authorization:BOLA)が現在における脅威の1つだと指摘している。

 BOLAは、攻撃者がAPIリクエスト内の送信オブジェクトのIDを細工することで、本来許可されていないオブジェクトにアクセスできてしまえる脆弱(ぜいじゃく)性になる。これによって攻撃者は、正規ユーザーなどになりすますことができ、システムやデータに不正アクセスを行い、悪意ある行為を実行したり情報を窃取したりすることが可能になる。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
トヨタ、BMW、ブリヂストンの迷い、環境に配慮したモビリティは必要だがそのコストは誰が払う?
モビリティ
2021-08-07 16:15
NVIDIAを攻撃のハッキンググループLapsus$、「イーサリアムのマイニング制限回避ツールを1億円以上で買い取れ」と脅迫か
IT関連
2022-03-04 12:06
窪田製薬の“近視矯正メガネ”、2021年中に台湾でまず販売へ 価格は50万円以下に
ネットトピック
2021-05-18 15:50
オープンな雑談の場を脅かす“迷惑系Clubhouser” Clubhouseのリスクを考える (1/2 ページ)
くわしく
2021-02-15 13:51
テクノロジーと災害対応の未来1「世界で最も悲惨な緊急事態管理関連の販売サイクル」
EnviroTech
2021-05-28 20:16
マイクロソフト2Q決算、売上高と利益ともに市場予想を上回る–AIへの巨額投資が奏功
IT関連
2024-02-02 17:10
AIは気候変動よりも深刻な問題–AIの先駆者G・ヒントン氏が警鐘
IT関連
2023-05-10 09:12
「スクリプト消し忘れ」で意図しないサイトに誘導 NTTデータイントラマートが謝罪
セキュリティ
2021-06-05 00:45
Zホールディングス、LINEのデータアクセス問題で特別委員会を立ち上げ
IT関連
2021-03-20 21:33
佐野学園、人事総務の業務改革で申請処理を大幅削減
IT関連
2021-06-03 12:33
リモートワーク最大の課題–コミュニケーションはどこまで向上できるのか
IT関連
2021-06-06 16:27
ネオジャパン、避難確保計画の作成システムを構築–年間の作業時間が41%減少
IT関連
2023-04-29 05:30
AI時代に必要とされる「データが行動を促す」ための新しいアプローチ
IT関連
2021-06-03 12:41
NTTデータ、法人ビジネスを改組
IT関連
2023-03-29 08:03