APIのセキュリティ、脅威の現状と対策の進め方

今回は「APIのセキュリティ、脅威の現状と対策の進め方」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 APIは、DXによる企業のシステムモダナイゼーション(システム最新化)やクラウド利用の拡大に伴って利用が広がり、セキュリティ対策の必要性も高まっているという。米Akamai TechnologiesでAPIセキュリティを担当するバイスプレジデントのGiora Engel氏に脅威の現状と対策の進め方を聞いた。

 同社は、APIセキュリティのビジネス強化を目的に、2023年にAPIセキュリティ企業のNeosecを買収した。イスラエル国防軍出身というEngel氏は、Neosecの共同創業者でAkamaiによる買収まで最高経営責任者(CEO)を務めた。Neosec以前には、行動分析によるエンドポイントおよびネットワークのセキュリティ企業LightCyberを創業。LightCyberは、Palo Alto Networksに買収され、Engel氏は同社でプロダクトマネージメント担当バイスプレジデントも務めた。

 APIに対する脅威の現状についてEngel氏は、量と質の2つの面から理解する必要があると説明する。量的な観点では、日本を含むアジア太平洋地域のウェブアプリケーション対する攻撃において、2023年12月時点で約21%をAPIが占めた。

 また、2023年通期の業界別の割合では製造が31.2%で最も多く、次いでゲームの25.2%、ハイテクの24.4%、映像メディアの24.0%、コマースの22.3%などとなっている。これらの数字は、Akamaiの顧客企業に対する脅威の実態だという。

 質的な観点についてEngel氏は、API利用の変化を指摘する。

 「かつては1つか2つのモバイルとウェブアプリケーションの接続だったが、今日ではその範囲が拡大し、マイクロサービス化が進んでいる。その多くは企業間取引やIoTなどマシン間接続であり、システムの深いレベルでも接続し、コアなデータに触れる。それに伴いアタックサーフェス(攻撃対象領域)は、表面的なアプリケーション間通信よりも深い領域に及んでいる」

 Engel氏の見解では、こうした現状をもたらしている主な要因がDXになる。特にコロナ禍でオンライン化が加速し、ビジネスでの重要性が高まり、ネットワーク領域の技術の1つであるAPIへの脅威がクリティカルなビジネスリスクになった。

 同氏は、「Neosecの創業時に多くの企業幹部やセキュリティリーダーらと会話した。開発が非常に多様化し、ビジネスがデジタル化し、企業が多様な消費者、顧客、パートナーと接続しなければならない状況が生じ、企業のインターフェースが一気に開放され、APIがセキュリティにおける最大のギャップになっていることを痛感した」と述べる。

 サイバー攻撃者がAPIを狙う理由は、APIがシステムやデータへ不正アクセスするための経路になるからだ。APIのセキュリティ対策の基本は、適切な認可・認証の実施による不正アクセスの阻止だが、APIへの攻撃手法が高度化しており、Akamaiは「オブジェクトレベルの認可の不備」(Broken Object Level Authorization:BOLA)が現在における脅威の1つだと指摘している。

 BOLAは、攻撃者がAPIリクエスト内の送信オブジェクトのIDを細工することで、本来許可されていないオブジェクトにアクセスできてしまえる脆弱(ぜいじゃく)性になる。これによって攻撃者は、正規ユーザーなどになりすますことができ、システムやデータに不正アクセスを行い、悪意ある行為を実行したり情報を窃取したりすることが可能になる。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
学年ごと入れ替えやライブ配信 コロナ禍「密」避け運動会
IT関連
2021-06-08 15:02
量子技術とAIのSandbox AQ、Alphabetからスピンオフ–シュミット氏ら出資
IT関連
2022-03-24 12:08
企業のAI導入が進む一方で、一番の阻害要因はスキル不足–IBM調査
IT関連
2024-01-25 09:49
日立ら、設備ごとに再エネ利用100%を認定する委員会設立–業界の整備目指す
IT関連
2022-12-15 00:04
レアメタル溶媒抽出技術エマルションフローで都市鉱山リサイクルを目指すエマルションフローテクノロジーズが資金調達
EnviroTech
2021-07-15 04:30
コープこうべ、青果スコアリングデータの活用を実証実験
IT関連
2021-08-18 22:28
伊藤忠商事、食品卸大手にAI型需要予測・発注最適化ソリューションを導入
IT関連
2021-02-03 23:50
NTT Comとパナソニック、顔認証を使ったデータ活用ビジネスを開始
IT関連
2021-06-09 10:28
アプリケーション開発における最適な手法の選び方–後編
IT関連
2023-01-19 08:17
業務ソフトウェアとデザインの関係–SAPの最高デザイン責任者に聞くこだわり
IT関連
2023-01-11 08:56
アマゾン、ショッピング向けAIチャットボット「Rufus」を発表
IT関連
2024-02-06 07:39
日本が北米に次いでサイバー攻撃の対象に–BlackBerryが22年第4四半期の脅威レポート
IT関連
2023-02-23 19:08
生成型AIは進化に伴ってよりインクルーシブになるべき–OpenAIのCEO
IT関連
2023-06-28 11:16
「Linux 5.19」が公開、トーバルズ氏はAppleシリコン搭載Macからリリース
IT関連
2022-08-04 02:49