「誰が何の『API』を使っているのか分からない」問題はなぜ起こるのか：APIセキュリティへの懸念【第2回】

企業がAPI保護に取り組むには、何から手を付ければよいのか。複数の専門家が指摘する「APIを見失ってしまいがち」な問題に注意を払い、導入すべき対策とは。

[Arielle Waldman，TechTarget]

　セキュリティ部門にとって、新たなAPI（アプリケーションプログラミングインタフェース）が次々と生まれることは重い負担になる。アプリケーションセキュリティ分野のスタートアップ（新興企業）ApiiroのCEOイダン・プロトニク氏によると、新しいAPIが日々登場することに伴い、セキュリティ問題や導入時の設定ミスが生じる恐れが大幅に高まっている。

　「APIの誕生ペースがあまりにも速いため、われわれはAPIをすぐ見失ってしまう」。調査会社Forrester Researchでプリンシパルアナリストを務めるサンディ・カリエリ氏は、そう話す。同社の顧客企業が直面する、APIにおける最大の課題の一つが、利用しているAPIの把握と管理だ。「顧客企業は、どのAPIを使っているのかが分からなくなっている。何の目的で存在しているのかが分からない『レガシーAPI』がたくさんある」とカリエリ氏は述べる。

人ごとではない「行方不明のAPI」問題　なぜ起こるのか

併せて読みたいお薦め記事

APIとは何か

• 「SDK」と「API」の違いとは？　どう使い分ける？
• APIとは何か？　Web APIとの違い、利用者のタスクを解説

　こうした「APIの可視性の欠如」問題は、企業の規模とは無関係だ。カリエリ氏によると、大半の企業は自社が利用しているAPIを完全に把握できていない。「企業が抱える開発者が100人であれ1万5000人であれ、セキュリティ担当者は社内で利用しているAPIの数を把握し切れていない」と、プロトニク氏も同じ意見を示す。

　市場に出回っているAPIセキュリティツールは、インターネット通信をするAPIの数を調査可能だ。ただし企業には社内LANでしか通信しないAPIが存在しており、そのようなAPIの数は市販ツールでは調査することが難しい。「そうした社内向けAPIも攻撃対象になる」とプロトニク氏は警告する。

　自社がどのようなAPIを使っているのかを企業が把握できていなければ、それらのAPIを使って収集できるデータも、そのAPIを利用できるエンドユーザーも分からない。その状態では、データ漏えいを防ぐ適切な手だてを講じることは難しい。

　企業はなぜ、APIの可視性を高められないのか。この理由についてカリエリ氏は、「APIが比較的簡単に受け渡しできるデータ形式を使用するためだ」と解説する。その点に注意せず、アクセス許可や認証、データ保護に関して従来のセキュリティ対策をAPIに適用しなければ、従来のアプリケーションで何年も目にしてきたものと同じ問題が起きる。「これでは過去の過ちを繰り返すことになってしまう」と同氏は指摘する。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。