ゼロトラストを API セキュリティに適用するには

Adopting Zero-Trust for API Security

2021/08/18 SecurityBoulevard — ゼロトラスト・アーキテクチャは、データ/クラウド/アプリケーションなどの、ネットワーク・インフラ内におけるあらゆる資産に採用されてい。そして今、開発者の間では、ゼロトラストが API のセキュリティ・アプローチとして有効であるとの見方が広がっている。

つまり、大半の組織が API を保有しているにもかかわらず、また、API を介して大量の機密データが送受信されるにもかかわらず、アイデンティティとアクセスの保護が成熟していない傾向があることで、API が頻繁に攻撃される点に、その理由がある。Pathlock の CEO である Kevin Dunne は、電子メールによるインタビューで、「ゼロトラストを API セキュリティに適用することで、API が適切に構築されることを確認できる。それにより、堅牢なセキュリティ・モデルを簡単かつ効果的に適用でき、API ユーザーは必要なものだけにアクセスするようになる」と語っている。

API セキュリティにゼロトラストを採用する理由

API を新しいネットワークだと考えてみまよう。API は、複雑な方法で相互に接続され、やり取りは組織の内外で行われている。たとえば、金融などの公共的な API は、ゼロトラストが重要な分野となるのが一般だ。つまり、API が文書化され、公共のインターネット上で利用可能になると、リスクが明らかに発生するためである。しかし、より大きなリスクは、プライベートな API や、インターナルな API に見られる。

なぜなら、それらは文書化されず、また、公共のネットワーク上で発見されないため、リスクには晒されないという共通の仮定があるからだ。しかし、脅威アクターたちによる、プライベート API の探索/発見がより巧妙になるにつれ、大量の機密データに対する不正アクセスのリスクが高まる。プライベート API には、公開されている API と同等のレイヤー保護が必要となる。

NTT Application Security の VP Strategy である Setu Kulkarni は、電子メールによるインタビューで、「API は定義上、アトム的な性質を持っている。それにより、API のセキュリティ確保は大きな課題となる。API にゼロトラストを実装する上での重要な検討事項は、API 実装に適切なアクセス制御が組み込まれていることを確認することだ。 すべての API 関数呼び出しには、認証だけでなく承認も必要である。 また、セッション検証にゼロトラストを追加すると、意図しないデータ漏えいの防止に役立つ」と述べている。

API にゼロトラストを統合する

Kulkarni は、「アプリケーション層にゼロトラストを実装する最もスケーラブルな方法は、ゼロトラストの導入をシンプルかつ安価にするための、セキュアなデザイン・パターンを実装/採用することだ。API にゼロトラストを実装するための完璧な方式は存在しないが、一般的なアプローチとしては、センタライズされた認証サービスを中心とした設計になる」と述べている。

nVisium の Senior Software Engineer である Yehuda Rosen は電子メール・インタビューで、「センタライズされた認証サービスのセットアップでは、リクエストごとに送信されるアクセス・トークンを検証し、リクエストされたアクションやリソースへのアクセス許可について、また、許可の方式について、API が決定することになる。

しかし、この方法では、新しいセキュリティ・サービスを構築/維持する必要があり、また、マイクロサービス環境内の広範なコンポーネントやアプリケーションにおいて、アクセス制御リストの処理が必要になるなど、新たな複雑さと課題が生じる。ゼロトラストが、API 間で普遍的に機能するわけではない。具体的に言うと、auth サービスのセキュリティ管理が、単独で機能することは不可能であり、また、それにより完全にゼロトラストなアプリケーションが実現するわけではない」と述べている。

ゼロ・トラストが API セキュリティに与える影響

Kevin Dunne は、「API はアプリケーションに似ていて、ビジネスを運営する機能として振る舞い、単なる技術的な要素ではないため、ゼロトラストは API セキュリティ全体に影響を与えるはずだ。しかし、その効果を最大限に発揮させるためには、アプリケーション層でのゼロトラストが、API セキュリティへのアプローチと同等になることを忘れてはならない」と述べている。以下のようなステップが必要だ。

・存在するアプリケーションを把握し、アクセス権の所有者と詳細を把握する
・役割と資格を再設計し、不要な権限を取り除くことで、アクセス権を制限する
・最小権限モデルを継続的に実施することで、リスクを最小限に抑える

Kevin Dunne は、「API はアプリケーションの未来であり、大量のデータが流出させる最も無防備な経路でもある。組織が管理するデータを、サイバー攻撃から確実に守るためには、API を保護することが最重要になる」と述べている。

たしかに、API はアプリケーションの未来の未来だと思います。しかし、「API 攻撃のトラフィックが6ヶ月で 300+% も増大している」にあるように、それは脅威アクターにとっても同じなのでしょう。そうなると Zero Trust になりますが、それを API に適用するには、さらなる努力が必要ですね。「API セキュリティのためのベスト・プラクティスを策定する」や、「覚醒必須:API の脆弱性を先回りして特定する」、「API ファースト時代のアプリケーション保護を再考する」なども良記事です。よろしければ ど〜ぞ。

%d bloggers like this: