Rethinking Application Security in the API-First Era
2021/07/01 TheHackerNews — API ファーストの時代において、アプリケーションの保護は困難な戦いである。開発が加速するにつれ、責任の所在が不明確になり、コントロール自体が困難になる。いまこそ、API ファースト時代の新たな優先順位や原則、そしてプロセスを反映したアプリケーション・セキュリティ戦略を再考する時だ。明日のアプリケーションを保護するには、今日のビジネ・スリスクを評価することから始まる。
この世界は、多様なデバイスの登場と、それらをつなぐ API により、相互接続が推進され、API が提供する摩擦のない体験に人々は慣れてきている。このフリクション・レスな現実は、間違いなくよりユーザー・フレンドリーである。すなわち、より速く、より便利である一方で、トレードオフを要求してきている。つまり、この利便性がオープン性を要求することで、サイバーセ・キュリティにおけるオープン性がリスクとなる。Mastercard の SVP for Security Innovation である Sidney Gottesman によると、ここで述べてきた状況は、今日のアプリケーションにおけるセキュリティ情勢を形成する、最大のトレンドにつながるという。それは、個人と、その個人が使用するアプリケーションとの間の、信頼関係の危機である。
2つ目の大きなトレンドは、サプライチェーンの問題である。自分自身のリスクに対処するだけでは不十分となり、また、サードパーティやベンダーが提供するコンポーネントを経由して、攻撃者は内部システムに侵入するようになってきた。デジタル製品やコネクテッド・ハードウェア製品においても、異なるサービスが API を介して製品にバンドルされるようになり、サプライチェーンに根ざした新しいタイプの統合リスクが生じている。
もう1つの大きなトレンドは、先日の Colonial Pipeline や JBS への攻撃が示すものである。つまり、個人のレベルにおいても、国家のレベルにおいても、悪意のアクターが溢れているということだ。それぞれの企業は、遅かれ早かれ攻撃を受けることを想定し、その攻撃に備えておく必要がある。その一方で、膨大なデータも無視できない。それぞれの企業が大量のデータを保存/管理/アクセスするため、アプリケーション層と API 層が、攻撃者にとって魅力的なものとなっている。したがって、官民を問わず、セキュリティ体制の改善を目的とした規制の強化も、セキュリティ・トレンドの中で特別な位置を占めている。
この記事が指摘するのは、API の時代を迎え、企業はセキュリティ対策を見直さなければならないという点です。つまり、信頼性の危機、サプライチェーンの相互接続性、悪意のアクターの増加といったトレンドが、サイバー・セキュリティの観点から、徹底的な把握のアプローチへの移行を示唆すると述べています。長い記事ですが、以下のような視点で構成されています。
・これまでとは異なるアプリケーション・セキュリティ
・バラバラのチームでのセキュリティ管理は簡単なことではない
・Visibility つまり “何を最初に修正する必要があるかを特定できること”
・エンタープライズ・リスクの観点からアプリケーション・リスクを把握する
・セキュリティ規制の意外なメリットとは
ユーザーが API を介してデータや機能にアクセスできるようにする企業が増えている中で、セキュリティの観点は、アクセスを制限することから、より優れた制御と許可を与えることへと変化しなければなりません。そのためにはまず、脆弱性を明確に可視化し、ビジネスへの影響度に応じて優先順位をつける必要があります。また、重要なビジネス・プロセスに対する脅威とリスクを、組織全体が理解することも重要です。そして、発見/保証/継続的な監視/回復力などの正しいプロセスを確立し、セキュリティ・チームを厄介者から必要者に変えることが、セキュリティのために重要だと纏めています。
NIST が示す政府機関のためのセキュアなサプライチェーンとは?
Google が立ち上げる SLSA はサプライチェーンのを護るフレームワークだ
米大統領令 2021:クラウドとゼロトラストとサプライチェーン
REvil ランサムウェアは MSP サプライチェーン攻撃により 200社に影響を及ぼす
IoT OT Security News 