APIの成長と攻撃の増加は表裏一体
従来型セキュリティが残したギャップを埋める
最新のAPI:簡単に使える一方、セキュリティ確保は難しい
アプリケーションプログラミングインターフェースの略であるAPIは現代の多くのWebアプリケーションのビルディングブロックとなるものです。より正確には、サーバー、エンドポイント、ソフトウェア同士を接続し、モバイルデータのクラウドへの同期からコードを用いないアプリケーション開発の実現など様々な機能をわずかミリ秒単位で実行できるようにします。
インターネットにつながるあらゆるものと同様に、APIの活用がより広範に広がるほど、攻撃者にとってより魅力的なターゲットが生まれます。さらに、API攻撃の発生は、史上最高に達しているようです。最近の調査では、53%の回答者がAPIトークンの安全性が損なわれたことによるデータ漏洩を経験したことがあるとのことでした。
この被害の拡散状況は、従来型のセキュリティ対策とソリューションの間に致命的なギャップがあることを示しています。組織がより時代に合ったセキュリティの実装へと移る中、APIを保護することにおいて、次の3つの主な課題に対応しなければなりません:
APIサービスは、多数のクラウド環境において安全を保つのが難しい。
API開発とセキュリティは、二人三脚では進まない。
従来型のセキュリティサービスは、APIの保護を念頭に置いた設計にはなっていない。
これらのギャップを解決するには、セキュリティおよびエンジニアリングがzero-dayの悪用とカスタマイズされた攻撃の先を行くよう、現代のAPIセキュリティソリューションによって、スケーラブルで自動化されたAPI脅威防御を提供しなければなりません。この点でこそ、各種の複雑かつ新たな脅威の中、APIを管理し保護する目的に特化して設計されたセキュリティサービスの専門プラットフォームである、WebアプリケーションおよびAPIの保護(WAAP)が活躍します。
API攻撃が��もたらすコスト
API自体と同様に、API攻撃は規模と巧妙化において急速に進化しています。そして、これを是正するためのコストも、大きなものになっています。
米国証券取引委員会の報告では、脅威にさらされたAPIにより、T-Mobileが大規模なデータ漏洩を開示したことが記されています。2か月に渡り攻撃者は、請求情報、メールアドレス、電話番号などを含め、3,700万の顧客アカウントの個人データへのアクセスを取得しました。
さらに大規模なケースでは、Twitterがターゲットとなり、パッチされていないAPIの脆弱性のために、関連付けられるメールアドレスと電話番号にユーザーがアクセスできてしまうということが発生しました。このバグは7か月間に渡り気づかれない状態でした。それまでに、攻撃者はすでに2億3,500万人のユーザーのアカウント情報を公開していました。
こうした大企業よりも小さいユーザーベースにサービスを提供する組織ですら、APIの脆弱性は壊滅的な攻撃を呼び込むことになり得ます。ユーザーの機密データの流出は、ブランドの評判と顧客の信頼にとって取り返しのつかない損害をもたらし、内部でのラテラルムーブメントにつながり、または急速な金銭的損失の拡大と時間のかかる法的弁済につながる可能性があります。
こうした事件は、いったい組織にとってどれほどのコストとなっているのでしょうか?ある推計では、安全でないAPI(APIエラーや悪用による漏洩)により、410~750米ドルの年間損失が発生しているとしています。
APIのセキュリティを確保するための3つの課題
こうした攻撃に先んじてAPIを守り抜くためのレースにおいては、組織は3つの主な課題に直面することになります:
APIサービスは、ハイブリッドおよびマルチクラウド環境において安全を保つのが難しい-大規模組織は平均的に何百もの既知のAPIを抱えており、それらはしばしば、複数のクラウドまたはハイブリッド環境で維持されています。このようにつながりあっていないデプロイ方式では、APIのセキュリティ確保と監督プロセスの複雑さが指数関数的に増加し、スケール化のためには貴重な内部リソースの消費が伴います。ある報告では、組織内のネットワークで250以上の異なるAPIトークン、キー、証明書を管理していると答えた回答者は78%に上ります。さらに、これらの組織でのAPIの利用が増えるにつれ、複数の環境に渡る手動でのセキュリティプロセスの維持にかかる負荷が、�不注意による見落としにつながり得ます。
API開発とセキュリティは、二人三脚では進まない-エンジニアと開発者は絶え間なくAPIを作成し公開していますが、それらを保護するためのセキュリティに関するコミュニケーションが不在となることが多くなっています。API環境の急速な増加と併せ、あらゆる脆弱性を出荷前に検出しパッチを当てることはほぼ不可能となっており、セキュリティは後付けとなっています。
従来型のセキュリティサービスは、APIの保護を念頭に置いた設計にはなっていない-データ漏洩から権限および認証の悪用まで、API攻撃にはしばしば、特定のAPIの機能と潜在的な脆弱性を深く、中身を理解することが必要になります。既存のツールセット(Webアプリケーションファイアウォール、ボット管理、DDoS 軽減など)はよく見られる攻撃からAPIを保護するように機能を拡大し続けているものの、API脅威の特化型性質のためには設計されておらず、また、APIを大規模なスケールで書面化し、分析し、防御するのに必要なきめ細かな制御は行えません。
こうした課題をWAAPで解決
特定のAPIの脆弱性に戦略を合わせる攻撃者から身を守るには、組織は脅威への防御態勢をカスタマイズする�ことが必要です。これには、エンジニアリングとセキュリティを運用に合わせ最適化しながら、APIの動作とリスクを深く理解することなどがあります。
現代のAPIセキュリティソリューションは、Gartnerが「WebアプリケーションおよびAPI保護(WAAP)」と呼ぶクラウドベースのセキュリティスタックの傘の下に入るものが多くなっています。一般的なWAAPソリューションには、核となる以下の機能が備わっています:
次世代Webアプリケーションファイアウォール(NGFW)により、望まれざるトラフィックを抽出、zero-dayの悪用の阻止、ネットワークセキュリティーポリシーの強化を行う。
分散サービス妨害(DDoS)保護により、長期間にわたり行われる攻撃や帯域幅消費型攻撃の両方を軽減する。
ボット管理により、フィンガープリント識別、ヒューリスティック、機械学習の組み合わせを用い、悪意のあるボットの行動をブロックする。
API保護により、JavaScriptの悪用からの強力なクライアント側での保護を提供しながら、APIトラフィックの分析、カテゴライズ、コントロールのカスタマイズを行う。
WAAPソリューションの顕著なアドバンテージの1つに、組織にとってAPIのより優れた可視性と管理が実現することがあります。API検出機能により、APIエンドポイントの発見、カタログ、監視が可能になり、一方でAPI悪用検出が高度な異常検出を用いて悪意のあるトラフィックパターンをトラッキングおよび分析し、帯域幅消費型攻撃を阻止します。
複雑で持続的な攻撃に対するAPI防御力に加え、WAAPは複数のクラウド環境に渡りAPIも保護します。中央APIカタログが組織に渡るAPIのベースラインを構築し、ここからセキュリティが可視性を失うことなく統一されたポリシーを適用できるのです。
WAAPにおける「リーダー」
Gartnerにより最近行われたWAAPベンダー評価では、WebアプリケーションおよびAPIセキュリティにおいてCloudflareが「リーダー」であると評されました。
320個所に広がるグローバルネットワークを持ち、さらに平均で1秒当たり4,500万以上のHTTPリクエストを処理するCloudflareは、ネットワークパターン、攻撃ベクトル、APIトラフィックにおける独自の知見を持っています。この可視性が、帯域幅消費型DDoS攻撃、悪意のあるボットアクティビティなどを軽減する、API検出機能、API管理および分析、トラフィックにおける異常な挙動を監視するレイヤー化されたAPI防御などの一連の統合されたセキュリティーサービスを拡充させ、強化することにつながっています。
CloudflareのWAAPポートフォリオは、セキュリティーの手動による設定と管理の負荷を低減させます。Cloudflare Security Centerは、追加によるデプロイやスケール上の懸念なく、組織にとってトラッキング、調査、APIランドスケープに渡る脅威の軽減が一か所で行える場所を提供します。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
このトピックを深く掘りさげてみましょう。
WebアプリケーションおよびAPI保護(WAAP)に関するGartner® Magic Quadrant™をご覧になり、Cloudflareがリーダーとして選ばれるその理由をお確かめください!
記事の要点
この記事を読めば、以下が理解できます。
APIが攻撃者にとっての最たるターゲットであり続ける理由
53%もの組織が安全性の損なわれたAPIトークンによりデータ漏洩を経験したその実態
APIセキュリティにおける3つの課題
WAAPによるAPIの懸念への対応