「誰が何の『API』を使っているのか分からない」問題はなぜ起こるのかAPIセキュリティへの懸念【第2回】

企業がAPI保護に取り組むには、何から手を付ければよいのか。複数の専門家が指摘する「APIを見失ってしまいがち」な問題に注意を払い、導入すべき対策とは。

2022年01月12日 05時00分 公開
[Arielle WaldmanTechTarget]

 セキュリティ部門にとって、新たなAPI(アプリケーションプログラミングインタフェース)が次々と生まれることは重い負担になる。アプリケーションセキュリティ分野のスタートアップ(新興企業)ApiiroのCEOイダン・プロトニク氏によると、新しいAPIが日々登場することに伴い、セキュリティ問題や導入時の設定ミスが生じる恐れが大幅に高まっている。

 「APIの誕生ペースがあまりにも速いため、われわれはAPIをすぐ見失ってしまう」。調査会社Forrester Researchでプリンシパルアナリストを務めるサンディ・カリエリ氏は、そう話す。同社の顧客企業が直面する、APIにおける最大の課題の一つが、利用しているAPIの把握と管理だ。「顧客企業は、どのAPIを使っているのかが分からなくなっている。何の目的で存在しているのかが分からない『レガシーAPI』がたくさんある」とカリエリ氏は述べる。

人ごとではない「行方不明のAPI」問題 なぜ起こるのか

 こうした「APIの可視性の欠如」問題は、企業の規模とは無関係だ。カリエリ氏によると、大半の企業は自社が利用しているAPIを完全に把握できていない。「企業が抱える開発者が100人であれ1万5000人であれ、セキュリティ担当者は社内で利用しているAPIの数を把握し切れていない」と、プロトニク氏も同じ意見を示す。

 市場に出回っているAPIセキュリティツールは、インターネット通信をするAPIの数を調査可能だ。ただし企業には社内LANでしか通信しないAPIが存在しており、そのようなAPIの数は市販ツールでは調査することが難しい。「そうした社内向けAPIも攻撃対象になる」とプロトニク氏は警告する。

 自社がどのようなAPIを使っているのかを企業が把握できていなければ、それらのAPIを使って収集できるデータも、そのAPIを利用できるエンドユーザーも分からない。その状態では、データ漏えいを防ぐ適切な手だてを講じることは難しい。

 企業はなぜ、APIの可視性を高められないのか。この理由についてカリエリ氏は、「APIが比較的簡単に受け渡しできるデータ形式を使用するためだ」と解説する。その点に注意せず、アクセス許可や認証、データ保護に関して従来のセキュリティ対策をAPIに適用しなければ、従来のアプリケーションで何年も目にしてきたものと同じ問題が起きる。「これでは過去の過ちを繰り返すことになってしまう」と同氏は指摘する。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

隴�スー騾ケツ€郢晏ク厥。郢ァ�、郢晏現�ス郢晢スシ郢昜サ」�ス

製品資料 ゾーホージャパン株式会社

医療業界を襲うランサムウェアや持続的標的型攻撃、どう対処すればよいのか?

半田病院への攻撃をはじめとし、医療業界は依然マルウェア攻撃やDDoS攻撃といったサイバー脅威に頻繁にさらされている。IoTやデジタル治療も普及する中、患者の健康情報を犯罪者から守り、多様な規制にも対応するにはどうすればよいのか。

事例 キヤノンマーケティングジャパン株式会社

大手前学園の事例に学ぶ、人材不足でも強固なセキュリティを実現する方法

教育機関を狙うサイバー攻撃が増加傾向にある。教育活動の安全を守るためには、セキュリティ強化が不可欠だが、多くの教育機関でインシデントに対処できる人材が不足している。本資料では、この問題を解決した大手前学園の事例を紹介する。

事例 キヤノンマーケティングジャパン株式会社

専門人材が不足する中でゼロトラストを実践するには? 事例に見るMDRの効果

医療機関へのサイバー攻撃が激化する中、医療情報システムを扱うSIベンダーであるテクトロンは、顧客への責任を果たすため、さらなるセキュリティ強化に取り組んでいる。そんな同社が負担なく短期間でセキュリティを向上させた方法とは?

事例 キヤノンマーケティングジャパン株式会社

多拠点のセキュリティ確保&トラブル対応が困難に、ヴィアックスはどう解決した

担当する図書館が全国で約100拠点にまで成長する一方、ネットワーク環境のばらつきによりサイバーセキュリティ対策が課題だったヴィアックス。同社は、24時間365日体制で高精度なセキュリティを確保するために、あるXDR製品を導入する。

市場調査・トレンド パロアルトネットワークス株式会社

クラウド時代に組織が取り組むべきセキュリティ施策とは?

世界10カ国・2800人以上を対象に実施した「クラウドネイティブセキュリティ調査」(2024年度)が公開された。この結果から、組織が取り組むべきセキュリティ施策を考察する。

アイティメディアからのお知らせ

From Informa TechTarget

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。

繧「繧ッ繧サ繧ケ繝ゥ繝ウ繧ュ繝ウ繧ー

2025/07/24 UPDATE

  1. 縺ェ縺懊€係indows Hello縲阪�窶懊ヱ繧ケ繝ッ繝シ繝我ク崎ヲ≫€昴〒繧ゆソ。鬆シ縺ァ縺阪k縺ョ縺具シ�
  2. 繝代せ繝ッ繝シ繝峨→莨シ縺ヲ縺�k縺代←螳牙�諤ァ縺悟、ァ驕輔>�溘€€縲後ヱ繧ケ繧ュ繝シ縲阪€後ヱ繧ケ繝輔Ξ繝シ繧コ縲阪→縺ッ
  3. 蠕捺・ュ蜩。縺ョ辟。譁ュ蛻ゥ逕ィ縺梧魚縺上€後す繝」繝峨�AI縲阪〒逋コ逕溘@蠕励k窶懊→繧薙〒繧ゅ↑縺�€�4縺、縺ョ繝ェ繧ケ繧ッ縺ィ縺ッ
  4. 縺ェ縺懊€後さ繝シ繝臥函謌植I縲阪r菫。縺倥※縺ッ縺�¢縺ェ縺�シ溘€€萓ソ蛻ゥ縺輔↓貎懊�窶�5縺、縺ョ繝ェ繧ケ繧ッ窶�
  5. 縲瑚コォ莉」驥代r謾ッ謇輔≧縲堺サ・螟悶�繝ゥ繝ウ繧オ繝�繧ヲ繧ァ繧「蟇セ遲悶�譛ャ蠖薙↓縺ゅk縺ョ縺具シ�
  6. 窶懊←繧後′蜊ア髯コ縺銀€昴〒縺ッ縺ェ縺上€郡aaS縺昴�繧ゅ�縺瑚�蜻ス逧�€阪€€驥題檮CISO縺瑚。晄茶縺ョ荳€螢ー
  7. 縺ェ縺懊€後Μ繝「繝シ繝医い繧ッ繧サ繧ケ縲阪�蜊ア髯コ縺ェ縺ョ縺九€€繝�Ξ繝ッ繝シ繧ォ繝シ縺梧魚縺�12縺ョ關ス縺ィ縺礼ゥエ
  8. 繝代せ繝ッ繝シ繝我ク崎ヲ√�縲後ヱ繧ケ繧ュ繝シ縲阪�繝。繝ェ繝�ヨ縺ィ窶懆ヲ矩℃縺斐○縺ェ縺�ウィ諢冗せ窶昴r隗」隱ャ
  9. 縲後ヱ繧ケ繝ッ繝シ繝峨d繧√∪縺吶€阪€€闍ア蝗ス謾ソ蠎懊′窶懊ヱ繧ケ繧ュ繝シ窶昴r菴ソ縺��縺ッ縺ェ縺懶シ�
  10. 繧シ繝ュ繝医Λ繧ケ繝医€悟、ア謨�35��€坂€補€輔◎繧後〒繧や€懃樟迥カ邯ュ謖≫€昴%縺晏些縺ェ縺�炊逕ア

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...