企業やIT製品/サービスがAPIを利用する機会が増えるにつれて、APIを狙う攻撃が活発化している。APIへの攻撃の実態や懸念点と、セキュリティ強化に向けた取り組みを紹介する。
アプリケーションやモノのインターネット(IoT)デバイスの裏側で、API(アプリケーションプログラミングインタフェース)がクラウドサービスとデータをやりとりすることは一般的になった。それに伴って、企業がAPI起因の攻撃を受けるリスクも高まっている。
APIセキュリティベンダーNoname Gate(Noname Securityの名称で事業展開)の最高情報セキュリティ責任者(CISO)カール・マトソン氏は、「クラウドサービスが使うAPIが多様化し、APIの利用機会が急増している」ことがセキュリティ面での最重要課題だと言う。「IT部門にとっても、セキュリティ部門にとっても、こうしたAPIの多様化や増加に付いていくのは極めて難しい」(マトソン氏)
マトソン氏は「複雑に絡み合うAPIの構図を描き出すだけでも困難だ。大量のAPIが極めて複雑化、多様化し、『動く標的』になっている」と述べる。
2021年8月、セキュリティベンダーRapid7の研究者アラビンド・ビシュワカルマ氏が、ホームセキュリティ機器ベンダーFortress Security Storeの家庭用無線LANセキュリティ製品「S03 WiFi Security System」に、複数の脆弱(ぜいじゃく)性が存在することを発見した。ビシュワカルマ氏のブログのエントリ(投稿)によると、これらの脆弱性の一つ「CVE-2021-39276」は、未承認のAPIアクセスを許す恐れがある。
クラウドセキュリティベンダーGlobalDotsでクラウドソリューションエンジニアを務めるドロール・アリー氏は、イスラエル国民の新型コロナウイルス感染症(COVID-19)ワクチン接種状況が明らかになる恐れのある脆弱性を発見した。アリー氏はイスラエル省庁のWebサイトで、健康状態申告フォームに記入しているときにこの脆弱性を見つけた。そのWebサイトが利用するAPIは、APIエンドポイント(APIにアクセスするための一意なアドレス)を使用していなかった。IDが手元にあれば、IDの持ち主のワクチン接種状況を知ることができる状態であることに、同氏は気付いた。
さらに深刻化なのは、IDで明らかになるのが個人のワクチン接種状況だけではないことだ。イスラエルでは政府が国民にIDを与え、そのIDは決済サービスやPOS(販売時点情報管理)システムなど至る所で使用されている。
適切なセキュリティツールが十分にないことが、APIの脆弱性を一層危険なものにする。調査会社Forrester Researchでプリンシパルアナリストを務めるサンディ・カリエリ氏によると、APIのセキュリティを確保する上で最も大きな課題の一つは、「それ1つがあれば事足りるツールがないこと」だ。つまりAPIの脆弱性探しと評価にはそれぞれ別のツールが必要になる。これは多面的なアプローチだ。「出回っているAPIセキュリティツールを全て調査して、同僚やベンダーに『これはわれわれが扱っているAPIを対象としているのか』と尋ねなければならない」とカリエリ氏は語る。
エリヤフ氏が考えるAPIセキュリティ最大の課題は、アプリケーション実行時にAPIのセキュリティを確保することだ。その難しさの要因は、攻撃の巧妙さや独自性が高まっている点にあると同氏は考える。
APIの設計に存在する問題や設定ミスが原因で生まれる脆弱性もある。こうした脆弱性は、Web会議ツールや銀行のWebサービス、SaaS(Software as a Service)の開発者など、誰かがAPIのソースコードを変更することで生じる。これらの脆弱性は製品/サービス間で共通のものではないため、概して共通脆弱性識別子(CVE:Common Vulnerabilities and Exposures)が割り当てられない。エリヤフ氏は、「設計や設定に関する標準が存在しない中で、開発者が独自に開発手法を学べてしまうことが、APIにおける最大の課題だ」と推測する。
一方でAPIセキュリティも進歩している。APIの脆弱性に対する理解度を向上させるための取り組みの例として、カリエリ氏はWebアプリケーションのセキュリティ強化を推進するコミュニティーOWASP(Open Web Application Security Project)の活動を挙げる。同団体は2019年に、APIの脆弱性の種類を分類するためのカテゴリーを作成した。APIのセキュリティを脅かすリスクトップ10のリスト「API Security Top 10 2019」も発表した。
Akamai Technologiesでセキュリティ戦略部門の最高技術責任者(CTO)を務めるパトリック・サリバン氏は、API Security Top 10 2019が取り上げるリスクのうち、「APIのレート制限の欠如」を強調する。レート制限はAPI経由の通信回数を制限する技術だ。「Webアプリケーションに比べてAPIはセキュリティ対策の成熟度が低い。この問題は、CVEが付与されている、どの脆弱性よりも重大だ」とサリバン氏は話す。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
脅威の検知と迅速な対応は、セキュリティ戦略の中核をなす重要な機能だ。これを実現するために、多くの組織が自動化ツールやAIなどの技術を採用しているが、成果を挙げている組織もあれば、そうでない組織もあり、明暗が分かれている。
近年、多くの組織が多数のセキュリティ製品をパッチワーク的に導入している。その結果、運用が複雑化し、非効率な状況が生まれてしまった。このような状況を改善するためには、セキュリティベンダーを統合することが必要だ。
データセンターにおいて、NGFWやマルウェア対策といったセキュリティ製品の導入は不可欠だが、選定を誤ると非効率な運用プロセスや高いコストに悩まされることとなる。5つの組織の例から、費用対効果の高い製品を見極めるコツを探る。
ダウンタイムが許されない基幹系システムやデータベースをクラウドに展開している場合、システムの障害対策をベンダー任せにすることは危険だ。本資料では、その理由を解説するとともに、クラウドの障害対策を実施する方法を紹介する。
エンドポイントがサイバー攻撃の対象となるケースも増えている今、企業にはどのような対策が必要なのか。2024年に実施された調査の結果を基に、3つの重大なリスク要因と、その解決策としてサイバーレジリエンスが重要な理由を解説する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
