APIの必須デジタルライフラインの安全確保

最新のアプリケーションのセキュリティを強化する4つの戦略

今日のデジタル環境では、アプリケーションプログラミングインターフェイス（API）は最新のソフトウェアアーキテクチャの要となっています。まさに、モバイルバンキングからスマートホームデバイスまで、私たちのデジタルエクスペリエンスをつないでいる目に見えない糸と言えます。経営幹部、特にCTO、CIO、CISOにとって、APIの理解とその保護は、今や必須となりました。APIは、ビジネスレジリエンス、イノベーション能力、競争優位性に直接影響する戦略的必須事項となったのです。

API中心のデジタルエコシステム：隠れた危険

今ではAPIがインターネットトラフィックで優勢となっており、すべての動的なHTTPトラフィックの57%以上を占めています。APIは、スピード感ある革新、カスタマーエクスペリエンスの向上、ビジネス効率の改善を可能にするものです。しかし、このAPI中心の世界には、かなりのセキュリティ上の課題が存在します。APIは数が多く、データが豊富で保護が複雑なため、攻撃者にとっての魅力的な標的となっています。

APIの台頭は、これまでになかったチャンスと固有のセキュリティ課題の両方をもたらしています。組織がこの状況をナビゲートする際、特に「シャドーAPI」の隠れた危険に対処する場合、堅牢なAPI固有のセキュリティ対策とイノベーションのバランスを取ることが成功にとっての鍵となります。

組織によって把握されていない、または組織によって管理されていない「シャドーAPI」の蔓延は、APIセキュリティにおいて差し迫った問題となっています。調査の結果、機械学習モデルが発見したAPIエンドポイントは、企業が自己報告したデータよりも30.7%も多いことが明らかになりました。これにより、重大なセキュリティの盲点や規制コンプライアンスに関するリスクが生じています。

この戦略的な意味は明らかで、存在を知り得ないものは保護できないということになります。APIの可視性がなければ、予期せぬデータ漏洩やセキュリティ侵害につながる可能性があり、包括的なAPI発見・管理プロセスの重要な必要性が強調されます。

APIに対する脅威の進化状況

APIがビジネス運営の中心となるにつれ、サイバー犯罪者の格好の標的にもなっています。ここでは、APIのセキュリティに対する4つの重大な脅威を紹介します。

1. BOLAオブジェクトレベル認可の不備（BOLA）:BOLAは、APIセキュリティにおける重大な懸念事項として浮上しています。このタイプの攻撃では、API呼び出しを操作し、APIの承認メカニズムの脆弱性を悪用し、表示する権限を持っていないデータにアクセスします。BOLA攻撃の現実的な影響は、米国郵便サービスAPIのBOLAの脆弱性から6000万人分のアカウント情報が露出した2019年の事件によって証明された通り、深刻になる可能性があります。

2. インジェクション攻撃：この攻撃では、悪意あるアクターがAPIリクエストに有害なコードを挿入してバックエンドのシステムを操作し、不正アクセスしたりデータのインテグリティを破壊したりします。2023年に軽減されたAPIの脅威の上位を占めたのは、SQLインジェクションとCross-site scriptingを含むインジェクション攻撃でした。

3. 分散サービス妨害DDoS攻撃：DDoS攻撃は大量のトラフィックでAPIエンドポイントを圧倒して利用できなくしたり、業務に重大な支障が発生する可能性があります。DDoS攻撃対策の戦略的重要性は、これがCloudflareのお客様にとってナンバーワンのAPI軽減方法であるという調査結果からも裏付けられています。

4. クレデンシャルスタッフィングと総当たりパスワード攻撃：盗んだ資格情報や推測された資格情報を使用して不正アクセスを試みる、自動化された攻撃です。自動化されているため大規模に実行でき、短時間に多数のアカウントが危険にさらされる可能性があります。
   
   

APIセキュリティの3つの主要な課題

APIには、戦略的な注意を必要とする固有のセキュリティ上の課題が存在します。これらの課題の理解は、API中心のビジネス環境におけるリソース配分、リスク管理、長期的な技術戦略に関する情報に基づく意思決定を行う上で極めて重要です。これらの主要な課題に効果的に対処することで、API駆動型サービスの信頼性、コンプライアンス、拡張性を確保しながら、デジタル資産を保護できます。

1. レート制限とDDoS攻撃対策の課題：データによると、429「リクエストが多すぎます」エラーは観察されたすべてのAPIエラーの51.6%を占めており、最も頻度の高いAPIエラーでした。適切な保護が行われていない場合、重要なAPIを標的としたDDoS攻撃が成功すると、ビジネス運営全体を停止させる可能性があり、重大なビジネスリスクを表します。

2. 認証と認可の複雑さ：401「Unauthorized」エラーは、発生したAPIエラーの中で4番目に多いものでした。これは、強固な認証と承認がAPIセキュリティの基盤であるとの要点を証明しています。ただし、正当なユーザーにとって不要な阻害要素を回避しながら不正アクセスを防止するにあたり、これらのセキュリティ対策の実装時には慎重にバランスを取る必要があります。

3. データ漏洩のリスク：APIは機密データを直接処理することが多く、適切なデータ処理はセキュリティ上の懸念事項だけでなく、規制上の課題ともなっています。これは、医療や金融などの規制の厳しい業界で特に重要になります。GDPRやCCPAのような包括的データ保護法により、APIを介したデータの誤処理の結果として高額な罰則や重大な風評被害につながるなど、深刻な影響が出る可能性があります。
   

テクノロジーリーダーのための4つの戦略

現代ビジネスにおけるAPIセキュリティの持つ重大な性質に対処するため、企業の経営層には、セキュリティの強化、イノベーションのけん引、競争優位の維持のために検討が必要な包括的戦略が4つ挙げられます。

1. 「ポジティブセキュリティ」モデルの実装：各APIに対して正確なスキーマを定義し、許可するメソッド、パラメータ、データタイプを指定することにより、APIセキュリティ体制が大幅に強化されます。事前定義したスキーマに適合するトラフィックのみを許可することで、堅牢な防御メカニズムを作成できます。このシステムは、スキーマから逸脱するリクエストを自動的にブロックまたはフラグ付けし、zero-day脆弱性や新しい攻撃ベクトルに対する追加の保護層をもたらします。

2. APIの発見と脅威検出に機械学習を活用：デジタル環境を継続的にスキャンし、すべてのAPIエンドポイントの特定とカタログ化、APIの動作や構造の変更の検出、動作のベースラインの確立、リアルタイムで異常のアラートを行うことにより、潜在的なセキュリティリスクを先制します。MLベースのセキュリティの実装には初期投資が必要ですが、複雑なセキュリティタスクを自動化し、潜在的な脅威に対して迅速に対応できるようにすることで、長期的なセキュリティコストとリスクを大幅に削減できます。

3. セキュリティチームと開発チームの協力促進：セキュリティを意識した開発の文化を醸成しでください。「セキュリティチャンピオン」プログラムの実施、CI/CDパイプラインへの自動セキュリティテストの統合、定期的な共同セキュリティレビューの実施、開発者向けの継続的なAPIセキュリティトレーニングの実施により、組織のセキュリティ体制が大幅に改善されます。このアプローチはセキュリティを強化するだけでなく、プロセス初期で問題を発見し解決することで、開発のスピードアップにもつながります。

4. 包括的なWebアプリケーションおよびAPI保護（WAAP）戦略を採用：API向けのこの多層セキュリティの主要構成要素には、API検出およびスキーマ検証、高度なレート制限、DDoS攻撃対策、ボット管理、ランタイムアプリ事故保護（RASP）、継続的なセキュリティ体制評価が含まれます。このアプローチは、幅広いAPIの脅威に対する包括的な保護を提供しながら、進化する攻撃ベクトルに適応する柔軟性を提供します。
   

未来を見越したAPIセキュリティ

急速に変化する情勢の中、APIセキュリティにはチャンスと課題の両方が提示されています。これら4つの傾向は、未来を形作る大切なものです。組織がこれらに積極的に対処することで、長期的なAPIセキュリティ戦略を強化し、進化する脅威に対する耐性を維持することができます。

1. 量子コンピューティングの影響に備える：備えるにあたって、ポスト量子暗号化の選択肢について知見を深め、すべてのAPIにまたがる暗号化のアップグレードに向けた包括的プランの策定が必要です。この先進的なアプローチは、ポスト量子時代の機密データの保護とAPI通信の完全性の維持に役立ちます。

2. GraphQLとgRPCの台頭への対応：GraphQLとgRPCの人気が高まるにつれ、特化したセキュリティ対策の実装が重要になります。GraphQLの場合、クエリの深さの制限とイントロスペクション制御に焦点を当ててください。gRPCを扱う際、基盤となるHTTP/2プロトコルの保護を優先し、強力な認証メカニズムを実装してください。

3. APIアクセスにZero Trustアーキテクチャを採用する：APIへの安全なアクセスにZero Trustを利用することで、組織の全体的なセキュリティ戦略を強化できます。すべてのAPIアクセス試行ごとに強力な本人確認を実装、侵害の潜在的な影響を制限するためにマイクロセグメンテーション技術の活用、すべてのAPIインタラクションの継続的な監視とログ記録の確立などがこれに該当します。

4. 規制当局の監視の強化に備える：規制対象データを扱うAPIの包括的な監査を実施し、堅牢なロギングおよび監視システムを導入し、APIに固有の新しい規制および基準に関する情報を常に把握する必要があります。
   

ビジネスイネーブラーとしてのAPIセキュリティ

API中心のデジタル世界において、堅牢なAPIセキュリティは技術面での必要性だけでなく、ビジネスの必須事項となっています。APIセキュリティに対して戦略的かつ積極的なアプローチを採用することで、経営陣はリスクを軽減するだけでなく、より速くより安全なイノベーションを実現できるようになります。

効果的なAPIセキュリティは常に取り組むべき課題であり、終着点は存在しません。常に注意を払い、適応と投資を続ける必要があります。高度なソリューションとベストプラクティスを活用することで、デジタル資産の可能性を最大限に引き出しながら脅威の先手を打つことができます。

このようなデジタルビジネスの新たな最前線では、APIセキュリティを習得する企業が単に勝利を収めるだけではなく、潜在的な脆弱性を競争優位性に変えて繁栄することになります。エグゼクティブとして、APIセキュリティを優先し、戦略的に取り組むに当たりリーダーシップを発揮できるかどうかが、市場でのリーダーシップとデジタルの陳腐化への結末を分けることになります。

この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。

このトピックを深く掘りさげてみましょう。

APIセキュリティの現状、新たな脅威、保護のベストプラクティスの詳細は、2024年APIセキュリティおよびマネジメントレポートをご覧ください。

著者

VB Malik — @vaibhavmalik1
パートナーソリューションアーキテクト、Cloudflare

記事の要点

この記事では、以下のことがわかるようになります。

• HTTPトラフィック全体の57%以上をAPIが占める

• シャドーAPIにより、組織は可視性の問題に直面。

• ビジネスの促進要因としてのAPIセキュリティ活用戦略

関連リソース

• 2024年APIセキュリティおよび管理レポート

• APIセキュリティの状況

• APIの普及とともに攻撃対象領域が拡大

• APIへの新脅威に先手を打つ3つの方法