APIセキュリティとは?
~ベストプラクティスから学ぶ標的リスクと対策~
APIセキュリティとは、システムやサービスがもつ機能またはデータを別のサービスから簡単に使えるようにする仕組み「API」に対するセキュリティ対策のことです。昨今、APIの活用は自社ビジネスの拡大やサービス開発の効率化などDXの実現に向けた技術として注目を集めています。一方、APIは個人情報を含む機密情報を扱うこともあり、サイバー攻撃の標的となるリスクがあります。また、実際にセキュリティ侵害が年々増加してきていることもあることから「APIセキュリティ」は注目されています。本コラムでは現代社会おいてAPIセキュリティが重要な理由や、多様化する脅威からAPIを守る”WAAP”について解説。セキュリティ対策を強化するためのベストプラクティスをご紹介します。
APIセキュリティと対策の重要性
現代社会におけるAPI
今やAPI(Application Programming Interface)はSNS(Social Networking Service)や企業のサービスなどで利用され、日常生活の根幹を支える重要な技術となっています。
例えば、私たちの身近なAPI活用例として、マイナポータルの健康保険証利用登録APIを使用することで、限度額以上の支払いを窓口で行う必要がなくなる、ポータル上で保険医療を受けた記録が参照できるため、領収証を保管・提出する必要がなく確定申告時の医療費控除を円滑に行えるようになるなど 、APIは様々なシステム間でのデータ連携をスムーズに行い、私たちの日常生活や企業活動の生産性向上に貢献しています。
今後もこの動きは止まることはなく、特にそれを加速させている要因となっているのが世界中で広がりを見せている生成AIのビジネス活用です。
ガートナー社の調査情報技術分野におけるリサーチ、アナリティクス、コンサルティングサービスを提供しているGartner®は、2026年までに80%以上の企業が生成AIのAPIを利用したアプリケーションをサービスとして展開するという見解を示しています (※1)。
一方で、APIの活用が広まるにつれ、APIセキュリティ(APIを攻撃から守るプロセス)への対策が求められてきています。
※1 出典
Gartner®, Press Release, 2023年10月12日”Gartner、「生成AIのハイプ・サイクル:2023年」を発表-2026年までに、企業の80%以上は生成AIのAPIを使用して、生成AIに対応したアプリケーションを本番環境に展開するようになる”https://www.gartner.co.jp/ja/newsroom/press-releases/pr-20231012
GARTNERは、Gartner Inc.または関連会社の米国およびその他の国における登録商標およびサービスマークであり、同社の許可に基づいて使用しています。All rights reserved.
APIのセキュリティリスク
昨今、多くの企業での活用が進み身近な存在となったAPIを標的とした攻撃が増加・高度化しています。
F5社の調査によれば、2023年、APIセキュリティ侵害は前年比で3分の1以上増加し、22件の侵害で1億2,000 万件以上のレコードが公開される被害を受けました(※2)。これらの被害は、管理者が認識していなかったシャドーAPIの認証・認可設定の不備により引き起こされました。
このことから、APIのライフサイクル管理におけるAPIセキュリティ領域の重要性が一層高まっています。APIセキュリティの対策に向け、WebアプリケーションやAPIを保護する既存製品としてはWAF(Web Application Firewall)が考えられます。
WAFはSQLインジェクションやクロスサイトスクリプティングなどの一般的な攻撃を防ぐことができますが、APIは各々仕様が異なり、様々なシステムと連携させる必要があるため、シグネチャベースで完全に保護することは困難です。
また、API特有の攻撃はWAFでは通常な通信とみなされることがあり、攻撃を遮断することができません。
高度化する攻撃からAPIを利用したWebアプリケーションを保護するための仕組み・対策として、今回ご紹介するのがWAAP(Web Application and API Protection)です。
※2 出典:https://www.f5.com/labs/articles/cisotociso/2024-cybersecurity-predictions
APIセキュリティ対策の要 WAAPとは
WAAPの主要機能
WAAPは、以下の主要機能を持つセキュリティテクノロジーです。
機能 | 説明 |
---|---|
WAF(Web Application Firewall) | SQLインジェクションやクロスサイトスクリプティング攻撃などをシグネチャを用いてブロックし、Webアプリケーションを保護する機能。 |
APIセキュリティ | 他サービスとの連携で使用されるAPIを攻撃から保護する機能。 |
DDos攻撃 | Botを識別し、有害な通信をブロックする機能。 |
DDos攻撃 | 世界各地の多数なコンピュータやデバイスを用いた大規模な大量リクエストから保護する機能。 |
WAAPの具体的な機能
WAAPはAPIセキュリティのベストプラクティスを環境にもたらすことをサポートし、APIやWebアプリケーションを保護します。
例えば、OWASP(Open Worldwide Application Security Project)(※3)が公開している2023年版OWASP API Security Top 10(※4)にも記載されているBOLA(Broken Object Level Authorization)などのAPIの脆弱性を狙った攻撃は、従来のWAFでは通常の通信とみなされ攻撃を許してしまうことがあります。しかし、WAAPでは異常な通信として学習し、これをブロックします。
BOLAの脆弱性を狙った攻撃について説明すると、攻撃者はまず有効なAPIエンドポイントを模索します。
有効なAPIエンドポイントが発見されるとレコードを抽出できるか試すために、攻撃者はリクエストURL内のIDを複数試し、有効なIDに対してアクセスし続けます。
BOLAの脆弱性がある場合、個人情報や機密データの漏洩、および悪用につながる危険性があります。
WAAPではエラーレートや通常とは異なる怪しい通信を学習することで、403や404などのエラーレスポンスが多く記録される「情報収集」フェーズの段階で攻撃を事前にブロックします。
管理者はWAAPで記録されたログを確認することで攻撃の対象となったAPIに対し、強力な認証と認可設定を施す必要があると認識するでしょう。
実際にAPIに対して認証と認可設定を行うことはBOLAなどの脆弱性を解消できるためAPIセキュリティ対策のベストプラクティスの1つに挙げられています。
※3 出典:https://owasp.org/
※4 出典:https://owasp.org/API-Security/editions/2023/en/0x00-header/
また、WAAPは利用している全てのAPIエンドポイントの可視化を行うことができます。
APIエンドポイントの可視化は、APIセキュリティ対策を講じる際に重要な要素です。
APIは時間経過に伴い更新・変更されていきますが、すべてのAPIのバージョン管理やAPIそのものをすべて認知することを人力で行うことは難しいと考えられます。
WAAPはAPIリクエスト時の通信を学習することで自動的にAPIの検出を行い、2023年版OWASP API Security Top 10の原因となり得るシャドーAPIやゾンビAPIを識別します。
識別された結果から管理者は対策を講じやすくなります。
実際に、シャドーAPIやゾンビAPIが招いた重大なセキュリティリスクが発生したと報告もされています。
APIを動的に検出し継続的に評価することはシャドーAPIやゾンビAPIによる被害を抑えられるためAPIセキュリティへの対策におけるベストプラクティスの1つに挙げられています。
結びに
いかがでしたでしょうか。
APIセキュリティは現代のビジネスにおいて欠かせない要素であり、その対策としてより包括的な対策としてWAAPを導入することが推奨されています。
TISでは、WAAPによりAPIセキュリティ機能を強化し、フルライフサイクルAPI管理に必要な機能を一括で提供するAPI連携プラットフォームを提供しています。
API連携プラットフォームとAPIセキュリティ機能を併用することで、お客様はより堅牢な環境で、APIの開発、運用、分析といった全てのライフサイクルにおいて効率的にAPIを活用できるようになり、社外にAPIを公開して新たなビジネスの創出が実現できます。
ぜひお気軽にご相談ください。