遅れが目立つ包括的 API セキュリティの導入状況
アプリケーションや API を狙った脅威は増え続けています。しかし、 SANS Instituteが実施した最近の調査によると、ほとんどの企業はいまだに、広範囲に対応できる API 専用の制御機能を使用していません。
API セキュリティ・テスト・ツールの欠落が顕著
API セキュリティに関する 2023 年の SANS 調査から、 API セキュリティ のテストツールを使用している回答者は全体の 50% に満たないことがわかりました。API ディスカバリーツールを使用している回答者の割合はさらに少ない状況です(29%)。しかも、このレポートによると、分散型サービス妨害(DDoS)対策サービスや不可分散サービスに含まれる API セキュリティコントロールは「十分に活用されていない領域」であり、これらの機能を使用している回答者の割合はわずか 29% でした。
攻撃の増加を考えると、これは非常に深刻な傾向といえます。Akamai が最近の「インターネットの現状」レポート、「セキュリティギャップのすり抜け:組織を狙うアプリケーションおよび API 攻撃の増加」で報告したとおり、2022 年は、アプリケーションおよび API 攻撃の数が過去最多となりました。しかし、SANS 調査の回答者が組織にとって最大のセキュリティリスクをどう捉えているかを見れば、包括的に対応できる API ツールの採用が少ないのもうなずけます。
このレポートは、2023 年 7 月に発表され、231 人の回答者のほとんどが米国組織に所属しています。現在アプリケーションセキュリティを担当している回答者の割合は 78%、今後関わる見込みである回答者は 15% でした。
API リスクはランク外
各組織にとって最も大きいリスク 3 つの順位を求める設問に対して回答者が最も多く挙げたのは、「再利用可能な認証情報の取得を目的としたフィッシング」でした。これに「パッチの欠落を悪用する攻撃者」と「脆弱なアプリケーション/API を悪用する攻撃者」が続いています。そして最下位は「誤設定されたサーバー/サービス」でした。エンタープライズは API がもたらすリスクを理解してはいるものの、優先的な投資対象とは見ていないことがわかります。
複数のセキュリティコントロールとプロセス
SANS Institute でセキュリティの最新傾向を担当しているディレクター、John Pescatore 氏はこのレポートに次のように記しています。「API リスクのディスカバリー、評価、緩和は複雑な問題であり、複数のセキュリティ制御とプロセスを使用して包括的に対応する必要があります。すでに普及しているアプリケーションレベルのツールでは部分的にしか対応できません。包括的に対応できる API セキュリティ専用の制御機能はまだ普及していません。」
API の稼働状態(および数)の把握
SANS のレポートは、企業が自社環境で稼働している API の数さえ十分に把握していないことを示唆しています。3 分の 2 を超える回答者が、本番環境で稼働している API のインベントリの精度は 75% 未満であると推定しています。
エンタープライズは、ネットワーク、コンピューター、アプリケーションなどの資産の正確なインベントリを取得することに何年も苦労してきました。API が稼働している場所(および数)を把握することに、もっと注力する必要があります。レポートには、「...脆弱な API は攻撃の最も一般的なアクセスポイントになっているので、API インベントリの精度を高め、もっと頻繁にディスカバリーを実行する必要がある」と記されています。
API セキュリティについて購入者は複数の方向性を模索
このような API セキュリティのギャップを解消する目的で新たなツールを入手することについて、コンセンサスはほとんど得られていません。 現在は使用していないが今後 2 年以内に導入を計画しているソリューションを尋ねたところ、回答者が選んだ選択肢は以下のようにさまざまでした。
- セキュア Web ゲートウェイ (14%)
- 動的アプリケーション脆弱性テスト(13%)
- Web アプリケーションファイアウォール (13%)
- コンテンツ・デリバリー・ネットワーク内のアプリ/API セキュリティ機能(13%)
- API セキュリティテスト(12%)
- API ディスカバリー(10%)
購入者がアプリケーションと API のセキュリティに求めるソリューションが多岐にわたっている今、Akamai のように包括的なソリューションを提供できるベンダーはこれまで以上に魅力的な存在といえます。複数の分野をカバーする強力なサービス組織を有するプロバイダーから、ボット管理、Web アプリケーションファイアウォール、その他の要件にアクセスできることは、エンタープライズにとって大きなメリットとなります。
高度な検知と対応のテクノロジー
また、高度な検知と対応(XDR)を通じてすべての API アクティビティを可視化し、リスク状況を判断し、通常のふるまいと悪性のふるまいを把握して、脅威を阻止する新たなテクノロジーが出現したことで、API 保護のメリットはさらに大きくなっています。
Akamai が最近 Neosec を買収したことにより、 この傾向はますます促進されると考えられます。30 日間(以上)の API アクティビティの分析と Akamai のコンテンツ・デリバリー・ネットワークが提供する可視性を組み合わせることで、エンタープライズはこれまでにないレベルの API ふるまい分析を実現できます。
SANS の調査結果には、新たにリリースされた OWASP トップ 10 API セキュリティリスクを考える際に背景情報となる興味深い事実も示されています。新 OWASP トップ 10 API セキュリティリスクには、制限のないリソース消費や API の安全でない使用など、新しいリスクがいくつかリストに追加されました。
フレームワークに関する合意
OWASP について:この調査では、セキュリティ担当者がみな価値を認めるフレームワークがいくつかあることが示唆されています。半数を超える回答者が、アプリケーション/API リスクの判断に使用する手段として、 OWASP トップ 10 Web アプリケーション・セキュリティ・リスク (55%)、 MITRE ATT&CK フレームワーク (55%)、 OWASP トップ 10 API セキュリティリスク (52%) を挙げています。また、 クラウド・セキュリティ・アライアンス (40%)と Center for Internet Security Critical Security Controls (33%)も上位 5 位までに入っています。
引き続き開発者へのセキュリティトレーニングを重視
さらに、このレポートから、全般的にエンタープライズは引き続き開発者へのセキュリティトレーニングの提供に力を入れていることがわかりました。75% を超える組織が、開発スタッフにセキュリティトレーニングを提供していると答えています。また、セキュリティチームの 25% 以上にアプリケーションセキュリティのトレーニングを提供していると答えた回答者の割合も 70% を超えています。
可視性と防御
Akamai App & API Protector は、Web アプリケーションとファイアウォールの保護、ボット管理、API セキュリティ、DDoS 防御に役立つ包括的なアプリおよび API ソリューションを提供します。これを利用することで、企業はそれぞれの環境における脅威に対する可視性と、強力な防御力を獲得できます。どんなに複雑な分散アーキテクチャであっても、脆弱性をすばやく特定し、Web と API の資産全体の脅威を緩和できるようになります。
