サイト内検索
サイト内検索を閉じる

APIセキュリティとは?
~ベストプラクティスから学ぶ標的リスクと対策~

APIセキュリティとは、システムやサービスがもつ機能またはデータを別のサービスから簡単に使えるようにする仕組み「API」に対するセキュリティ対策のことです。昨今、APIの活用は自社ビジネスの拡大やサービス開発の効率化などDXの実現に向けた技術として注目を集めています。一方、APIは個人情報を含む機密情報を扱うこともあり、サイバー攻撃の標的となるリスクがあります。また、実際にセキュリティ侵害が年々増加してきていることもあることから「APIセキュリティ」は注目されています。本コラムでは現代社会おいてAPIセキュリティが重要な理由や、多様化する脅威からAPIを守る”WAAP”について解説。セキュリティ対策を強化するためのベストプラクティスをご紹介します。

APIセキュリティと対策の重要性

現代社会におけるAPI

今やAPI(Application Programming Interface)はSNS(Social Networking Service)や企業のサービスなどで利用され、日常生活の根幹を支える重要な技術となっています。
例えば、私たちの身近なAPI活用例として、マイナポータルの健康保険証利用登録APIを使用することで、限度額以上の支払いを窓口で行う必要がなくなる、ポータル上で保険医療を受けた記録が参照できるため、領収証を保管・提出する必要がなく確定申告時の医療費控除を円滑に行えるようになるなど 、APIは様々なシステム間でのデータ連携をスムーズに行い、私たちの日常生活や企業活動の生産性向上に貢献しています。
今後もこの動きは止まることはなく、特にそれを加速させている要因となっているのが世界中で広がりを見せている生成AIのビジネス活用です。
ガートナー社の調査情報技術分野におけるリサーチ、アナリティクス、コンサルティングサービスを提供しているGartner®は、2026年までに80%以上の企業が生成AIのAPIを利用したアプリケーションをサービスとして展開するという見解を示しています (※1)
一方で、APIの活用が広まるにつれ、APIセキュリティ(APIを攻撃から守るプロセス)への対策が求められてきています。
※1 出典
Gartner®, Press Release, 2023年10月12日”Gartner、「生成AIのハイプ・サイクル:2023年」を発表-2026年までに、企業の80%以上は生成AIのAPIを使用して、生成AIに対応したアプリケーションを本番環境に展開するようになる”https://www.gartner.co.jp/ja/newsroom/press-releases/pr-20231012
GARTNERは、Gartner Inc.または関連会社の米国およびその他の国における登録商標およびサービスマークであり、同社の許可に基づいて使用しています。All rights reserved.

APIのセキュリティリスク

昨今、多くの企業での活用が進み身近な存在となったAPIを標的とした攻撃が増加・高度化しています。
F5社の調査によれば、2023年、APIセキュリティ侵害は前年比で3分の1以上増加し、22件の侵害で1億2,000 万件以上のレコードが公開される被害を受けました(※2)。これらの被害は、管理者が認識していなかったシャドーAPIの認証・認可設定の不備により引き起こされました。
このことから、APIのライフサイクル管理におけるAPIセキュリティ領域の重要性が一層高まっています。APIセキュリティの対策に向け、WebアプリケーションやAPIを保護する既存製品としてはWAF(Web Application Firewall)が考えられます。
WAFはSQLインジェクションやクロスサイトスクリプティングなどの一般的な攻撃を防ぐことができますが、APIは各々仕様が異なり、様々なシステムと連携させる必要があるため、シグネチャベースで完全に保護することは困難です。
また、API特有の攻撃はWAFでは通常な通信とみなされることがあり、攻撃を遮断することができません。
高度化する攻撃からAPIを利用したWebアプリケーションを保護するための仕組み・対策として、今回ご紹介するのがWAAP(Web Application and API Protection)です。
※2 出典:https://www.f5.com/labs/articles/cisotociso/2024-cybersecurity-predictions

APIセキュリティ対策の要 WAAPとは

WAAPの主要機能

WAAPは、以下の主要機能を持つセキュリティテクノロジーです。

機能  説明 
 WAF(Web Application Firewall)  SQLインジェクションやクロスサイトスクリプティング攻撃などをシグネチャを用いてブロックし、Webアプリケーションを保護する機能。
APIセキュリティ   他サービスとの連携で使用されるAPIを攻撃から保護する機能。
DDos攻撃   Botを識別し、有害な通信をブロックする機能。
DDos攻撃   世界各地の多数なコンピュータやデバイスを用いた大規模な大量リクエストから保護する機能。

WAAPの具体的な機能

WAAPはAPIセキュリティのベストプラクティスを環境にもたらすことをサポートし、APIやWebアプリケーションを保護します。
例えば、OWASP(Open Worldwide Application Security Project)(※3)が公開している2023年版OWASP API Security Top 10(※4)にも記載されているBOLA(Broken Object Level Authorization)などのAPIの脆弱性を狙った攻撃は、従来のWAFでは通常の通信とみなされ攻撃を許してしまうことがあります。しかし、WAAPでは異常な通信として学習し、これをブロックします。
BOLAの脆弱性を狙った攻撃について説明すると、攻撃者はまず有効なAPIエンドポイントを模索します。
有効なAPIエンドポイントが発見されるとレコードを抽出できるか試すために、攻撃者はリクエストURL内のIDを複数試し、有効なIDに対してアクセスし続けます。
BOLAの脆弱性がある場合、個人情報や機密データの漏洩、および悪用につながる危険性があります。
WAAPではエラーレートや通常とは異なる怪しい通信を学習することで、403や404などのエラーレスポンスが多く記録される「情報収集」フェーズの段階で攻撃を事前にブロックします。
管理者はWAAPで記録されたログを確認することで攻撃の対象となったAPIに対し、強力な認証と認可設定を施す必要があると認識するでしょう。
実際にAPIに対して認証と認可設定を行うことはBOLAなどの脆弱性を解消できるためAPIセキュリティ対策のベストプラクティスの1つに挙げられています。
※3 出典:https://owasp.org/
※4 出典:https://owasp.org/API-Security/editions/2023/en/0x00-header/

また、WAAPは利用している全てのAPIエンドポイントの可視化を行うことができます。
APIエンドポイントの可視化は、APIセキュリティ対策を講じる際に重要な要素です。
APIは時間経過に伴い更新・変更されていきますが、すべてのAPIのバージョン管理やAPIそのものをすべて認知することを人力で行うことは難しいと考えられます。
WAAPはAPIリクエスト時の通信を学習することで自動的にAPIの検出を行い、2023年版OWASP API Security Top 10の原因となり得るシャドーAPIやゾンビAPIを識別します。
識別された結果から管理者は対策を講じやすくなります。
実際に、シャドーAPIやゾンビAPIが招いた重大なセキュリティリスクが発生したと報告もされています。
APIを動的に検出し継続的に評価することはシャドーAPIやゾンビAPIによる被害を抑えられるためAPIセキュリティへの対策におけるベストプラクティスの1つに挙げられています。

結びに

いかがでしたでしょうか。
APIセキュリティは現代のビジネスにおいて欠かせない要素であり、その対策としてより包括的な対策としてWAAPを導入することが推奨されています。
TISでは、WAAPによりAPIセキュリティ機能を強化し、フルライフサイクルAPI管理に必要な機能を一括で提供するAPI連携プラットフォームを提供しています。
API連携プラットフォームとAPIセキュリティ機能を併用することで、お客様はより堅牢な環境で、APIの開発、運用、分析といった全てのライフサイクルにおいて効率的にAPIを活用できるようになり、社外にAPIを公開して新たなビジネスの創出が実現できます。
ぜひお気軽にご相談ください。

「API連携ビジネス活用支援サービス」はこちら

PAGE TOP

サービスに関する資料をご希望の方は、フォームに必要事項を入力いただき、ご送信ください。

資料を請求する

お問い合わせ
各種お問い合わせページ
お問い合わせフォーム
サービスに関するお問い合わせ
お電話
0800-600-9810
携帯電話
050-5816-9805
受付時間 9:00~12:00 13:00~17:00(土・日・祝日を除く)

更新日時:2024年9月11日 15時22分