脆弱性とは一線を画す問題：API の悪用が重大な課題である理由

API の悪用は別の種類の問題

型通りの API セキュリティの初期の取り組みでは、API のコード化や設定の方法に関する脆弱性を悪用する攻撃からの保護が懸念されていました。しかし、

API の悪用は別の種類の問題です。攻撃者は、いかなる種類の技術的な脆弱性も悪用していません。むしろ、API を作成した組織が意図していない方法で API を使用しています。

破壊的で検知が困難

API の悪用による影響は、破壊的なものになる可能性があります。多くの組織は API を使用してコア・ビジネス・ロジックとデータを公開しています。この知的財産を盗むために攻撃者に必要なものは、正しい認証情報を持つ正しい API だけです。

さらに厄介なのは、API の悪用の検知は非常に困難だということです。攻撃者は有効な認証情報を使用して、正当な使用法に見える方法で API とやり取りしているため、多くの第 1 世代の API セキュリティ製品では検知できません。

すべての API は悪用される可能性がある

API を公開する組織は、どんな API にも考え得る悪用のケースシナリオがあると想定する必要があります。たとえば、現在私たちの多くが毎日使用するオンラインバンキング、予算編成、財務計画のアプリケーションやサービスについて考えてみましょう。API はこのような利便性を実現するための鍵です。 

認証情報を持つ攻撃者は、これらの API を介してアクセス可能な固有のビジネスロジックやデータを簡単に活用し、この知的財産を金融機関のビジネス上の利益や口座所有者の個人的な利益に反するものにすることができます。

API の悪用という脅威の拡大を防ぐ方法

API の脆弱性から目を離してはなりません。探索、脆弱性評価、修復を含む API セキュリティ基盤を構築することは、これまでと同様に重要です。 

しかし、API の悪用を含む API 脅威全体に API セキュリティ体制を拡張するためには、次の 3 つの重要な戦略が必要になります。 

1. API 攻撃についての考え方を広げる
2. API に関するより多くのデータを分析する 
3. API を利用して悪用を特定する

API 攻撃の構成要素についての考え方を広げる

OWASP API Security Top 10 は、API の脆弱性を見つけて排除するための第一歩を踏み出すのに最適です。しかし、API の悪用について理解するのには役立ちません。API の悪用に関する業界フレームワークが登場するまでは、API 攻撃の性質についてチームでより幅広く考えることが重要です。

API とアクティビティに関するより多くのデータを分析する

他の API セキュリティソリューションは、個々の API 呼び出しか、よくても短期的なセッションの監視を行います。問題は、API の悪用は正当なアクティビティのように見えるだけでなく、数分、数時間、数日にわたって行われる可能性があることです。 Software as a Service（SaaS） をベースとしたアプローチを取り入れることは、コンテキスト内で API の使用状況を正しく把握するのに十分な大きさのデータセットを取得および分析し、ベースラインのふるまいとは異なる Low & Slow（少しずつ時間をかけた） API 悪用や異常を検知するための唯一の方法です。

API を利用して悪用のインスタンスを特定する

API アクティビティの速度と量は大きすぎるため、人間が積極的に監視して理解することはできません。同時に、多くの従来の API セキュリティ技術では、観察対象がビジネスに及ぼす影響を把握できません。

そこで、機械学習技術と人工知能（AI）技術の出番です。このブログ記事に記載されているアドバイスに従い、SaaS に移行するとします。そうすると、分析するデータが増えるだけでなく、ビッグデータ分析の実行に必要なコンピューティング能力も手に入ります。

私たちは将来を予測できず、攻撃者による次の新しい API 悪用方法を完全に予測することはできません。しかし、AI を活用して、ふるまいのベースラインを見極め、関係する事業体を把握し、悪用の可能性を示す異常を見つけることはできます。

今日のリスクに対する高度な制御

完璧な API でも悪用される可能性があります。API セキュリティリスクを特定して緩和するためには、この急変する複雑な脅威状況に対処できる高度なセキュリティ制御が必要です。今すぐ Akamai API Security ソリューションをチェックし、API のセキュリティの強化にお役立てください。