セキュリティチームは API の脅威が増大することによる影響を実感していることが調査で明らかに

API セキュリティ インシデントが増加していることは、驚くべきことではありません。このように考えてみてください。あらゆる企業の従業員と同様に、API にも仕事があります。それは、デジタルテクノロジー間でデータを迅速に交換することです。この仕事は重要です。API は顧客やパートナーが必要なサービスを利用できるようにしています。しかし、この仕事は ハイリスク でもあります。なぜなら、従業員とは異なり、API はほとんど監視を受けずに機微な情報を処理するからです。 

多くの API は組織の中心的な IT 部門の知らないうちに作成されるため、ひっそりと存在しており、従来のセキュリティツールでは見落とされがちです。セキュリティチームは、自らが説明責任を負うことの できる API に関してさえ、リスクを可視化できないことがよくあります。

2024 年の API セキュリティの影響に関する調査では、API の完全なインベントリーを持っていると考えている回答者のうち、機微な情報を返す API がどれかを知っている人の割合はわずか 27% で、昨年の 40% から減少しました。さらに、役割間で差異があります。調査に回答した CIO のうち、機微な情報を返す API がどれかを知っていると考えている人の割合は 43% でしたが、そのように考えている CISO の割合はわずか 17% でした。

「見えないものは守れない」という格言があります。次のことを考慮すると、このような可視性の欠如は問題であることがわかります。

• 2023 年 1 月から 2024 年 6 月にかけて 1,080 億件の API 攻撃が記録されたことが、Akamai の最新の インターネットの現状（SOTI）に関するレポートで明らかになりました

• API が 1 つでも侵害されると、重大なデータ窃取につながり、収益の損失や規制上の罰金が発生する可能性があります

これらの所見から何がわかるでしょうか？どんな形の攻撃も必ず懸念を引き起こします。しかし、よく知らない攻撃ベクトルに対処することには特殊なストレスが伴います。多くの組織は、迅速に API リスクの複雑さに対応しようとしています。さらに、API 攻撃の直後に感じられるプレッシャーは、シニアリーダーが 「どのように発生したのか？」と質問すると、高まる一方です。

幸い、ほとんどのセキュリティチームが関心を抱き、API 攻撃が発生する仕組みに関する知識を深めています。また、多くの場合、API のセキュリティを確保するために一般的に使用されるツールだけでは不十分であることも認識しています。回答者は、これまでに経験した API インシデントの主な原因をあげました。その回答から、次の要因が組み合わさっていることがわかりました。

• 管理されていない大半の API 資産を把握または保護するように設計されていないツールを使用しているため、狭い視野の外で発生したインシデントを検知できなかった

• OWASP Top 10 API セキュリティリスクに含まれている脆弱性（急いで行われたコーディングのエラーや認証制御の欠如など）

現在の API の脅威に対処するためには、次の 4 つの主要な領域に根差した戦略とソリューションが必要です。

• API 探索

• 対策管理

• ランタイム保護

• セキュリティテスト

可視性の向上： API は管理されておらず、データへのアクセスがチェックされていないことが多くあります。そこで、その陰に光を当てます。自動化されたアプローチで API 探索を行うツールを探します。API を分析してリスクを特定し、包括的なインベントリーに記録します。

対策の強化： API の通常のふるまいと非典型的なふるまいを明確にすると同時に、よくあるアラートのタイプを可視化します。これにより、攻撃のシグナルをプロアクティブに検知できるようになります。その知見を活用して、リスクを軽減し、優先順位を設定し、API セキュリティ戦略を強化します。

ランタイムでの把握とセキュリティ確保： 包括的な API セキュリティソリューションを既存のセキュリティスタック（ Web アプリケーションファイアウォール や Web アプリケーションと API のセキュリティ ツールなど）と統合します。これにより、ユーザーは リスクの高いふるまいを特定 し、重要なリソースにアクセスされる前に疑わしいトラフィックをブロックできるようになります。