スポーツおよびメディア企業、API の隠れたリスクを発見

デジタルプラットフォームとアプリケーションは、API の力によってスポーツおよびメディア業界に革命をもたらしています。これらのテクノロジーの進歩により、ライブイベントの企画、プロモーション、体験が変化し、アーティスト、イベント主催者、視聴者に、等しく新たな機会が生まれています。

API を使用すると、さまざまなソーシャル・メディア・チャネルでイベント情報、最新情報、チケットリンクをシームレスに共有できるため、認知度が向上し、チケット販売が促進されます。さらに、API により、ライブイベントでのオンサイト体験に変革が起こっています。モバイルアプリケーションやウェアラブルデバイスとの統合により、スケジュールのパーソナライズ、インタラクティブマップ、リアルタイム通知などのインタラクティブな機能が実現します。

ただし、スポーツおよびメディア業界で扱われるデータや取引は機密性が高いため、 API セキュリティを優先することが不可欠であることに注意する必要があります。API セキュリティの制御は、データの整合性、機密性、可用性を確保する上で重要な役割を果たします。そのため、この世界的に有名なスポーツおよびメディア組織は Noname Security（現在は Akamai 傘下）と手を組みました。

このお客様は 、API セキュリティの必要性は十分に認識していましたが、どこから始めればよいか、どの分野を優先すべきかについては当時正確には把握していませんでした。それまでは主にアプリケーションセキュリティに重点を置き、API ゲートウェイや Web アプリケーションファイアウォールなどの既存のツールで十分に API を保護できると考えていました。しかし、このようなツールはある程度の基本的な保護は提供できますが、API セキュリティに特化したソリューションが提供するような可視性、リアルタイムセキュリティ、および継続的なテストを提供するレベルには設計されていません。同社の当時のインフラではこれらの保護の多くに対応できませんでした。たとえば、API セキュリティには認証と認可という 2 つの重要な側面があります。適切な認証メカニズムにより、許可されたユーザーまたはシステムのみが API にアクセスできるようになります。 

Akamai API Security チームは、独自の体制管理モジュールとランタイム保護モジュールを使用して、このお客様の当時の API セキュリティ体制を理解しました。お客様環境内にある API の正確なインベントリーを作成した後、既存のセキュリティ脆弱性と誤設定を明らかにすることができました。

最初に明らかになったのは、お客様が Structured Query Language インジェクション（SQLi）の被害に遭っているということでした。SQLi は、攻撃者が API 要求の入力パラメーターを操作して不正な SQL コマンドを実行できるセキュリティ脆弱性の一種です。SQLi 攻撃が成功すると、重大な影響が生じる場合があります。攻撃者は、機微な情報に不正アクセスし、データの変更や削除を行ったり、基盤となるデータベースサーバー上で任意のコマンドを実行したりする可能性があります。

次に明らかになったのは、お客様が認証を行っていないことでした。適切な認証が行われなければ、誰でも API エンドポイントにアクセスでき、機微な情報を取得または変更できます。誰でもデータの修正や削除を行えるため、データの整合性の問題や重要な情報の損失につながる可能性があります。これにより、 データ漏えい、 不正な情報開示、さらにはシステム全体の侵害が発生する恐れがあります。

本番環境の API をしっかりと把握できるようになった今、同社は本番環境に移行する前に脆弱性に対処する方法を模索しています。こうした脆弱性の発見と修復を支援するために、Akamai API Security には Active Testing が含まれています。Active Testing とは、組織固有のビジネスロジックを理解し、API 特有の脆弱性を包括的にカバーする API セキュリティテスト用ソリューションです。Active Testing により、シフトレフトを実行し、開発のあらゆる段階に API セキュリティテストを組み込めるようになります。