API(アプリケーション・プログラミング・インターフェース)は現代のソフトウェア開発に欠かせない要素です。さまざまなシステムが相互に通信してデータや機能を共有できるのも API のおかげです。ところが、コンピューティングのどの側面とも同様に、API のセキュリティ確保は大きな懸案事項となっています。API セキュリティは、API を攻撃から保護するプロセスです。
サービスやデータへのアクセスの提供を API に依存している企業や組織にとって、API セキュリティは重大な関心事です。API は幅広いセキュリティリスクに対して脆弱な可能性があり、データ漏えいや不正アクセスなどの攻撃を招きかねません。
ハッカーが API を好む理由:ハッカーが API を好むのは、API が膨大な量の貴重な情報にアクセスするための手掛かりになることが多いからです。セキュリティが適切に確保されていない API は、機微な情報の漏えいを招く可能性があります。
セキュリティに関する見落としの悪用:ハッカーはセキュリティ対策が不十分なまま構築および展開された API を探します。それが格好のエントリーポイントになるからです。レガシー API も、定期的な更新がなされていなければ攻撃者の標的になります。往々にして、複数のエントリーポイントが見落とされたり忘れられたりしているからです。
複雑さの悪用:API では、特にマイクロサービスや分散型アーキテクチャにおいて、多彩な種類のやり取りが行われています。API での複雑なやり取りは、攻撃者よりもまず自社にとって、API セキュリティ基準を遵守できるかどうかという課題となります。ハッカーはそれをわかっており、複雑さを逆手に取って API の悪用を図ります。
API 攻撃による甚大な影響:API がハッカーにとって魅力的なもう 1 つの理由として、大規模なデータ損失を引き起こすのに利用できる可能性が挙げられます。分散型サービス妨害(DDoS)攻撃で API エンドポイントを標的にすることで、システムの運用を大きく混乱させることができます。
API に対するセキュリティ脅威の種類:意図的な攻撃から不注意によるデータ漏えいまで、API は数多くのセキュリティ脅威に直面しています。不正ユーザーが API の脆弱性を悪用して、機微な情報にアクセスしたり、サービスを停止させたり、システムを乗っ取って利用することもあります。一般的な脅威には、インジェクション攻撃や中間者(MITM)攻撃、API をトラフィックの過負荷状態にすることを狙う DDoS 攻撃などがあります。
API セキュリティ対策の必要性:API への依存度が高まっていることから、API セキュリティの必要性が浮き彫りとなっています。API の保護は、アクセス制限どころでは済まない難題であり、厳格な認証プロトコルや認可制御、データの暗号化、定期的なセキュリティ監査が求められます。目標は、侵入や悪用の試行に対抗できるセキュリティエンベロープで API を包み込むことです。
API セキュリティにおけるベストプラクティスの実装:API セキュリティのベストプラクティスを実装すれば、リスクが大幅に軽減されます。アクセス制限(または最低限の権限)を導入すると、ユーザーに与えられるアクセスが各自の職務遂行に必要な最低限のレベルに制限されます。
ゼロトラスト・モデルと呼ばれるセキュリティ対策もあります。これはどのようなリクエストも発信元によらずデフォルトでは信頼すべきではないという前提で運用されます。
ビジネスに欠かせない API セキュリティ:組織は時間、リソース、現行の戦略に投資して、直面している数多くのセキュリティリスクから API を保護する必要があります。データ漏えいに対する保護、規制要件の遵守、ブランドの評判の保護、API とのやり取りを行う顧客やパートナーからの信頼の獲得は、効果的な API セキュリティ戦略によって可能となります。
企業や組織が保護対策を講じるべき API セキュリティリスクのトップ 10 は以下のとおりです。
API を保護するためには、全 API に目を光らせてその挙動を監視する必要があります。Akamai は、API 資産全体の完全な可視性を提供することで、堅牢な API セキュリティの実現を支援します。
さらに、業界をリードする WAAPや App & API Protector、そして強力な検知・対応ソリューションである API Security を導入すれば、外部からの既知の脅威や API の異常なふるまいから API を保護できます。
具体的には、堅牢な認証および認可の実装、API 経由で送られてくるデータの暗号化による保護、レート制限の実装による DDoS 攻撃阻止、API リクエストおよびレスポンスのロギングと監視などを実施できるようになります。特定された脅威は、App & API Protector がインラインで停止できます。
こうした手段を講じることで、API を悪用から保護し、その利用の安全を確保できます。
機微な情報を処理する API は、セキュリティが損なわれると深刻なデータ漏えいにつながる可能性があります。ビジネスや顧客の機密データが不正な第三者にさらされてしまう可能性があります。
運用の混乱:安全でない API はサイバー攻撃へのゲートウェイです。攻撃者は、システムリソースの浪費を目的として API を狙うサービス妨害(DoS)攻撃など、多彩な API 攻撃を仕掛けてくる可能性があります。こうしたアクションがシステムの速度低下や機能停止を引き起こし、ユーザー体験に悪影響を与え、収益の損失を招きます。
財務リスク:API セキュリティが侵害された場合、その対応にはコストがかかります。つまり、セキュリティの欠陥の是正やカスタマーリレーションシップの管理などにかかるコスト、さらにはデータ漏えいが発生した場合の潜在的な法的コストなどがかかることになります。
堅牢な API セキュリティの必要性:API セキュリティのリスクは、ビジネスのデータ整合性、事業の継続、財務状況の安定を脅かすおそれがあります。資産や事業運営を守るためには、厳格な認証やレート制限など、強固な API セキュリティ戦略の整備が不可欠です。
静的および動的な分析:静的な分析では、アプリケーションのソースコードにセキュリティの脆弱性がないかを検証します。動的な分析では、異常なふるまいや悪性のふるまいの検知を実行しながらアプリケーションを監視します。
侵入検知システム(IDS):IDS は疑わしいアクティビティやセキュリティポリシーの違反を検知し、潜在的な脅威が特定されるとアラートを送信します。
定期的な更新:セキュリティを定期的に更新して、最新の OWASP 脆弱性などの新しいセキュリティ脅威を常に把握している必要があります。
自動化されたアラート:セキュリティシステムは、潜在的な脆弱性を検知した場合、自動化されたアラートを特定の受信者に送信する必要があります。これにより、どのような潜在的な問題についてもセキュリティチームにすばやく注意を喚起することができます。
設計と実装:その第一歩は、API の構成を評価することです。API のセキュリティには当初の設計と実装が大きく影響します。重要な要因には、データの扱い方、エラーの管理方法、安全な通信プロトコルの使用、攻撃を阻止するための入力検証などが挙げられます。
API の保護対策:API セキュリティは、実装されている保護対策に大きく左右されます。最新の保護対策を講じた API ほど安全性が高くなります。
API セキュリティは、API の設計と、セキュリティの継続的な実装によって実現します。
API 攻撃の一般的な例には、攻撃者がシステム間の通信をインターセプトして改ざんする MITM 攻撃、悪性データを挿入してシステムの脆弱性を悪用するインジェクション攻撃、API にきわめて大量のトラフィックを送信してサービスの中断を引き起こす DDoS 攻撃などがあります。
API によくある 5 つのセキュリティリスクは以下のとおりです。
API のセキュリティ強化では次のような戦略が採られます。
機微な情報の保護:確固たる API セキュリティの構造はデータ漏えいに対抗するバリアとなり、ビジネスと顧客のどちらの情報も安全に保ちます。データは貴重な必需品であり、こうした情報の機密性と整合性を維持することは重要です。
強固な API セキュリティにより、不正アクセスやデータ漏えいのリスクを最小限に抑えることができます。
サービス中断の低減:強固な API セキュリティは顧客サービスが中断しないようにするために重要であり、一貫したサービス提供につながります。
データ保護規制の遵守:強固な API セキュリティフレームワークは、規制遵守の達成に役立つほか、データ保護に対して事前対応型のアプローチで臨んでいることの証しとなります。つまり、データセキュリティを最優先していることを、顧客、パートナーにアピールできます。
信頼と安心:セキュリティが強固として知られている API を使うことは、その API でやり取りを行っている顧客やパートナーからの信頼につながります。
API のセキュリティには、強固な認証および認可メカニズムを設定し、必要なユーザーだけに API へのアクセス権を付与することが必要です。データのセキュリティを強化するためには、保管中と転送中のどちらのデータにも暗号化を導入する必要があります。
API エンドポイントの数を慎重に管理し、できるだけ減らすことで、潜在的なアタックサーフェスを制限する必要があります。
ゼロトラスト・モデルに従うと、追加の保護レイヤーを確保できます。どのようなリクエストも発信元によらずデフォルトで信頼しないという前提で運用されるこのモデルは、脅威に対する包括的な保護を提供します。
認証および認可機能を監査することが重要となります。OAuth や OpenID Connect などの堅牢なソリューションが実装されていれば理想的です。
API のデータ暗号化規格を監査します。保管中のデータにも、API を出入りするデータにも、強力な暗号化を使用することが必要です。Transport Layer Security(TLS)など、セキュリティが確保された通信プロトコルがあらゆるデータ交換に実装することが必要です。
レート制限を API に導入して、所定の時間内のクライアントまたは IP アドレスあたりの実行可能リクエスト数を管理する必要があります。これは総当たり攻撃に対する防御となり、システムの過負荷を阻止します。
すべてのリクエストを発信元によらず潜在的な脅威として扱うアプローチ、すなわちゼロトラスト・モデルが API に導入されているかどうかを確認します。ゼロトラスト・アーキテクチャでは検証を絶えず行い、導入経験のないビジネスにとってはかなりの大仕事です。
セキュリティが確保された API とは、監視と更新が絶えずなされ、変化を続けるセキュリティ脅威に適応している API です。
ユーザーの個人情報:氏名、住所、電話番号、メールアドレス、社会保障番号、パスポートの詳細などが挙げられます。
財務データ:クレジットカード情報、銀行口座の詳細、取引履歴などがリスクにさらされる可能性があります。
認証情報:ユーザー名とパスワードはもちろん、API キーやトークンのような他の形態の認証データも、API 攻撃の主な標的です。これらが手に入ると、攻撃者はシステムやデータにより広範にアクセスできるようになる可能性があるからです。
健康情報:個人の医療記録、既往歴、保険の詳細など、健康に関連する機微な情報が API 攻撃のリスクにさらされています。
企業の専有情報と IP:API の性質によっては、ハッカーが知的財産、事業戦略、私信など、企業の専有情報へのアクセス権を得る可能性があります。
ユーザー・アクティビティ・データ:ユーザーのアクティビティやふるまいに関する情報、たとえば閲覧履歴、ソーシャルメディアでのふるまい、購入履歴、位置情報も、API 攻撃に対して脆弱です。
一般的な API セキュリティリスクには、データ漏えい、不十分な認証手段に起因する不正アクセス、安全でないエンドポイント経由による機微な情報の露出、標的型 API 攻撃(インジェクション攻撃や DoS 攻撃)によるシステム中断などがあります。
API リスクの緩和には、効果的なセキュリティ対策の実装が必要です。主な対策には、強固な認証および認可プロトコルの強制、データの暗号化、API エンドポイントの管理による不要な公開の制限、定期的なセキュリティ監査の実施などがあります。
API の安全性とセキュリティは、その設計、実装、現在設定されている保護に左右されます。セキュリティ対策が不適切な API は攻撃に対して無防備です。効果的なセキュリティにとって重要なのは、API が本質的に安全か否かではなく、そのセキュリティがどれだけ確保されているかどうかです。
API の安全性とセキュリティは API 自体に内在するものではありません。セキュリティが確保されているかどうかは、API がどのように構成、管理、保護されているかで決まります。API の安全性は複数の要因に左右されます。
Akamai はオンラインライフの力となり、守っています。世界中のトップ企業が Akamai を選び、安全なデジタル体験を構築して提供することで、毎日、いつでもどこでも、世界中の人々の人生をより豊かにしています。 Akamai Connected Cloudは、超分散型のエッジおよび クラウドプラットフォームです。ユーザーに近いロケーションからアプリや体験を提供し、ユーザーから脅威を遠ざけます。
