API セキュリティの始め方
※本コラムはTISのビジネスパートナーであり、APIセキュリティの先駆者であるF5ネットワークスジャパン合同会社様を取材したものです。
83%
なんの数字か想像ができるでしょうか?
これは全インターネットトラフィックのうち、APIが占める割合です。
こちらの記事にAPIの色々がまとめられていますが、ぜひご参考にしてください。
その他「(7)91%で2020年にAPIセキュリティインシデントが発生」といった、あれ・・自分の所はどうだろうか・・、と考えさせられるデータもあります。
アプリのモダナイズ、マルチクラウドやエッジによる分散環境の拡大、アジャイルで実現する柔軟なアプリのデプロイメント、今後もAPIの増加は確実で、それに伴いAPIのリスクも増大していきます。
この記事を読んでいる皆様はAPIに興味があると思いますが、APIセキュリティの準備はできていますでしょうか。
セキュリティなくして稼働するAPI環境は、計測器をつけずに飛ぶ飛行機そのものです。
ユーザの皆様はその飛行機(API環境)を安心して使ってくれるでしょうか?
または投資家、経営層に自身を持ってその飛行機(API環境)をアピールできますでしょうか?
セキュリティはコストではありません。
「安心」をユーザや投資家、経営層にアピールし、ブランド価値を向上させる役割もあります。
本記事ではAPIセキュリティの始め方について簡単にご説明させて頂きます。
APIセキュリティのごく一部ですが、APIセキュリティにご興味のある皆様の何かのきっかけになりますと幸いです。
APIセキュリティを実現する3つの要素
APIセキュリティを構築するためには、考慮しなければならない3つのセキュリティ要素があります。
Network Security/Application Securityに関しては、通常のWebアプリケーションでしっかりと意識されているセキュリティ対策だと思います。APIの場合はこれにAccess Controlが加わります。
誤解無きよう、Webアプリ向けでも当然Access Controlは必要です。
ただしこれがAPIになると、より一層注視しなければなりません、という意味でこの3つのセキュリティ要素をピックアップしています。
それではこの3つのセキュリティ要素で、具体的にどういった脅威を防いで行くのでしょうか。
アプリケーションの脅威として、APIに関してもOWASP API Security TOP10(2019年、2023年度版)というものがありますので、これをマッピングしてみます。
APIの脆弱性に関しては、認証認可の不備を突いた攻撃が多く見られます。
よってAPI環境に対してはAccess Controlが他のセキュリティ同様に重要になってくるのです。
それでは次に、この3つのセキュリティ要素を実現する環境について見てみます
理想的なAPIプラットフォーム
多くの皆様は既にWebアプリケーション向けのセキュリティとして、Network Security/Application Securityを組み込んだ環境を構築されていると思います。
APIセキュリティに関してもまったく変わった環境が必要、ということではなく、同じような環境で実現することができます。
ここではGartner社が提唱するDistributed Enforcement Modelに基づいた環境についてご説明します。
上図にて、セキュリティの適用ポイントは大きく2つに分かれています。
Distributed Enforcement Modelの左側ではNetwork Security/Application Securityを適用します。
API環境に入ってくる前に、量的なネットワーク攻撃やアプリケーションに対する攻撃に対して対策を行い、ここでAPIに特化した対策も行います。
自身のアプリで提供しているAPIの可視化(API Discovery)やAPIロジックベースの対策を実行します。
このWAAP(Web Application and API Protection)の領域では、F5のソリューションが世界のリーダーとして選出されています。
ここで1つ、OWASP API Security TOP10のAPI1番に該当する脆弱性であるBroken Object Level Authorization(BOLA)を例にあげてみます。
下記の通りBOLAには2つの攻撃フェーズがあります。
この「(1)偵察フェーズ」の攻撃にはDistributed Enforcement Modelの左側が対処し、「(2)実際の攻撃」にはDistributed Enforcement Modelの右側が対処します。
Distributed Enforcement Modelの右側ではAccess Controlを実現する事になりますが、適切にアクセストークンを実装し、アプリケーション自身でもAPIセキュリティを意識した実装が必要になります。
最近では、APIロジックベースのAPI侵入テストやソースコードスキャン等、APIセキュリティサービスの中の1つの機能として提供されていることもありますので、興味のあるサービスを調べてみてください。
Access Control内のAPIゲートウェイが2つに分かれていますが、Outer API GatewayではAPIエンドポイントに対する認証認可を実装し、Inner API Gatewayでは先程のBOLA等に対策するためのよりきめ細かく柔軟な認証認可機能を実装する、とお考えください。
APIセキュリティの始め方
APIセキュリティに必要な3つの要素と、それを実現するDistributed Enforcement Modelについて、なんとなくご理解頂けたかと思います。
それではまずは何を意識してAPIセキュリティを始めるべきか、について考えてみます。
まず皆様、始めようとされているAPIセキュリティで実際に守るべきAPIを把握されていますか?
何を守るべきか、明確に把握していないと対策を打つこともできません。
よって筆者が考えるAPIセキュリティの始め方は下記3つの順番になると思います。
(1)API Discovery
(2)OWASP API Security TOP10に対する対策
(3)継続的な監視
まずは「(1)API Discovery」にて皆様自身のAPIエンドポイントを可視化しましょう。
「うちのAPI、増えてきているけど大丈夫だろうか・・」とヒヤヒヤされている方、まずは可視化することでそのヒヤヒヤを解消しましょう。
ヒヤヒヤを解消すると対策すべき対象が明確化され、今度は「対策はどうしよう・・」と夜寝られない状況になるかもしれません。
セキュリティ対策はすべてを一度に行うのはほぼ不可能だと思います。
まずは「(2)OWASP API Security TOP10」を参考に対策を考えてみてください。
最近はWAAPaaSのような、通常のWebアプリセキュリティだけでなくAPIセキュリティも組み込まれたソリューションがたくさんあります。
API Gateway含め、Enforcement Distributed Modelを参考に対策を考えてみてください。
そして夜安心して寝るためには、やはり継続することが重要です。
「(3)継続的な監視」を行う必要がありますが、継続することが重要です。
複雑なシステムですと継続することも難しくなります。
いかに簡単に構築して運用していくか、妥協せずに考えてみると良いと思います。
おわりに
残念ながらセキュリティに終わりはありません。かといって無視できるものでもありません。
継続して実現できる仕組みを構築するために様々な情報を入手することが必要であり、今回はAPIセキュリティの始め方について述べさせて頂きましたが、皆様のお考えに少しでも良いインパクトを与えられたとしたら幸いです。
TISでは、F5様のWAAPによりAPIセキュリティ機能を強化し、フルライフサイクルAPI管理に必要な機能を一括で提供するAPI連携プラットフォームセキュリティ対策強化メニューを提供しています。
これにより、お客様はより堅牢な環境で、APIの開発、運用、分析といった全てのライフサイクルにおいて効率的にAPIを活用できるようになり、社外にAPIを公開して新たなビジネスの創出が実現できます。ぜひお気軽にご相談ください。