TOPセキュリティ > APIセキュリティーの第一歩は攻撃手段の理解から(前)

セキュリティ

APIセキュリティーの第一歩は攻撃手段の理解から(前)

2022/08/02

Chris Hughes CSO

 クラウドコンピューティングやモバイルデバイス、マイクロサービスが広く使われている現在、我々が利用するアプリケーションの屋台骨を支えているのがAPIだ。企業の攻撃対象領域を考えるうえで、今やAPIを外すわけにはいかない。

Credit: SPainter VFX / Getty Images
Credit: SPainter VFX / Getty Images

 米Akamai Technologiesによると、インターネットのトラフィックのうちAPIベースのトラフィックは83%を占める。また米Salt Securityの調査によると、API攻撃のトラフィックは2021年の1年間で600%以上増えた。米Gartnerの予測によると、Web対応アプリケーションの90%は公開APIに伴う攻撃対象領域が今後拡大する。米Impervaの調査によると、脆弱なAPIが企業にもたらす損失は世界全体で年間400~700億ドルに及ぶ。

 APIの攻撃対象領域の拡大に関連する重要な要素としては、Kubernetesやマイクロサービスの普及もある。非営利組織The ShadowServer Foundationの調査では、外部からアクセスできるKubernetes APIサーバーが38万以上見つかっている。APIサーバーはKubernetesのコントロールプレーンの重要な構成要素であることを踏まえると大きな懸念だ。

 現代のデジタルエコシステムを支える「接着剤」として、APIは重要な役割を果たしている。それにもかかわらず、APIのセキュリティーにはあまり注意の目が向けられていない。

 APIはデータの取得やクエリーのほか、データのエンリッチメントや修正などの処理にも使う。やりとりするデータの保護と同じように、API自体の防御が欠かせない。

 APIを扱ううえでは、アプリケーションとデータセキュリティーの両方のベストプラクティスを取り入れる必要がある。テクノロジーの多くの分野と同じように、企業はAPIのインベントリーの作成という基本的な作業にも苦戦している。自社で利用や提供を行っているAPIの全体像を把握できていない企業が大半で、APIが自社の攻撃対象領域にどう関係しているかをつかめていない。

 米Resurface Labsや米Traceable AIなど、APIセキュリティーの問題に対処するためのプラットフォームを手がけている企業もあるが、この分野の取り組みはまだまだ足りない。API攻撃の対象領域を把握し、その危険性を理解するために、企業はどこから始めればよいのだろうか。

↑ページ先頭へ