APIのセキュリティ、脅威の現状と対策の進め方

今回は「APIのセキュリティ、脅威の現状と対策の進め方」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 APIは、DXによる企業のシステムモダナイゼーション(システム最新化)やクラウド利用の拡大に伴って利用が広がり、セキュリティ対策の必要性も高まっているという。米Akamai TechnologiesでAPIセキュリティを担当するバイスプレジデントのGiora Engel氏に脅威の現状と対策の進め方を聞いた。

 同社は、APIセキュリティのビジネス強化を目的に、2023年にAPIセキュリティ企業のNeosecを買収した。イスラエル国防軍出身というEngel氏は、Neosecの共同創業者でAkamaiによる買収まで最高経営責任者(CEO)を務めた。Neosec以前には、行動分析によるエンドポイントおよびネットワークのセキュリティ企業LightCyberを創業。LightCyberは、Palo Alto Networksに買収され、Engel氏は同社でプロダクトマネージメント担当バイスプレジデントも務めた。

 APIに対する脅威の現状についてEngel氏は、量と質の2つの面から理解する必要があると説明する。量的な観点では、日本を含むアジア太平洋地域のウェブアプリケーション対する攻撃において、2023年12月時点で約21%をAPIが占めた。

 また、2023年通期の業界別の割合では製造が31.2%で最も多く、次いでゲームの25.2%、ハイテクの24.4%、映像メディアの24.0%、コマースの22.3%などとなっている。これらの数字は、Akamaiの顧客企業に対する脅威の実態だという。

 質的な観点についてEngel氏は、API利用の変化を指摘する。

 「かつては1つか2つのモバイルとウェブアプリケーションの接続だったが、今日ではその範囲が拡大し、マイクロサービス化が進んでいる。その多くは企業間取引やIoTなどマシン間接続であり、システムの深いレベルでも接続し、コアなデータに触れる。それに伴いアタックサーフェス(攻撃対象領域)は、表面的なアプリケーション間通信よりも深い領域に及んでいる」

 Engel氏の見解では、こうした現状をもたらしている主な要因がDXになる。特にコロナ禍でオンライン化が加速し、ビジネスでの重要性が高まり、ネットワーク領域の技術の1つであるAPIへの脅威がクリティカルなビジネスリスクになった。

 同氏は、「Neosecの創業時に多くの企業幹部やセキュリティリーダーらと会話した。開発が非常に多様化し、ビジネスがデジタル化し、企業が多様な消費者、顧客、パートナーと接続しなければならない状況が生じ、企業のインターフェースが一気に開放され、APIがセキュリティにおける最大のギャップになっていることを痛感した」と述べる。

 サイバー攻撃者がAPIを狙う理由は、APIがシステムやデータへ不正アクセスするための経路になるからだ。APIのセキュリティ対策の基本は、適切な認可・認証の実施による不正アクセスの阻止だが、APIへの攻撃手法が高度化しており、Akamaiは「オブジェクトレベルの認可の不備」(Broken Object Level Authorization:BOLA)が現在における脅威の1つだと指摘している。

 BOLAは、攻撃者がAPIリクエスト内の送信オブジェクトのIDを細工することで、本来許可されていないオブジェクトにアクセスできてしまえる脆弱(ぜいじゃく)性になる。これによって攻撃者は、正規ユーザーなどになりすますことができ、システムやデータに不正アクセスを行い、悪意ある行為を実行したり情報を窃取したりすることが可能になる。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
ウィズセキュア、セールスフォースのデータを保護するデータセンターを国内に開設
IT関連
2024-10-31 11:03
阪神本線でローカル5GやAI画像認識などの実証実験–アイテック阪急阪神らが実施
IT関連
2022-12-08 18:30
ジェフ・ベゾス氏の初宇宙飛行、7月20日にライブ配信
企業・業界動向
2021-07-15 22:56
M1 iMacのイエロー、 オレンジ、 パープルはApple Store専用販売
IT関連
2021-04-24 23:28
Rust製ブラウザエンジンの「Servo」がElectron代替を目指す「Tauri」への組み込みに対応、プロトタイプとして実装
HTML/CSS
2024-01-22 18:25
イーロン・マスク氏の伝記を「スティーブ・ジョブズ」のアイザックソンが執筆中
企業・業界動向
2021-08-08 12:45
「Google One」の全プランでVPNが利用可能に
IT関連
2023-03-11 13:40
光電製作所、次期ERPシステムにSAPのクラウドオファリングを採用
IT関連
2023-11-16 01:05
歯の再生治療薬の研究・開発加速、歯科領域創薬の京大発スタートアップ「トレジェムバイオファーマ」が4.5億円調達
IT関連
2022-03-10 00:48
「Windows 11」新プレビューが公開–初の公式ISOイメージを提供
IT関連
2021-08-20 09:52
下げ止まらない日経平均–業績好調でも景気敏感・製造業が買われにくい理由
IT関連
2021-08-02 11:41
2021年は、突貫工事の後始末へ–コンタクトセンター基盤のベンダー座談会(前編)
IT関連
2021-02-01 06:57
メガネに付ける透明マスク、Zoffが発売
くらテク
2021-03-06 21:10
コンテンツを標的にした脅威が増加–「Box」の情報セキュリティ対策
IT関連
2024-03-14 19:42