Salt Security の調査:API の広大な攻撃面積を保護するためには?

Salt Security Survey Surfaces API Security Weaknesses

2022/03/02 SecurityBoulevard — 今日、Salt Security が発表した、セキュリティ/アプリケーション/DevOps 関連の、250人以上の役員および専門家を対象とした調査によると、回答者の 95% が過去 12ヶ月間に API に関わるセキュリティ・インシデントを経験し、62% が API セキュリティの懸念からアプリケーションの展開を遅らせたと報告していることが判明した。

同時に Salt Security は、同社の API セキュリティ・プラットフォームを通じて発見された悪意の API トラフィックが、過去12カ月で 681% 増加したことを明らかにした。同社の顧客のうち 12% が、毎月平均 500件を超える攻撃を目にしているという。また、Salt Security の顧客が経験した攻撃の 96% が、認証済み API を標的にしているという。

しかし、これほどの活動レベルにもかかわらず、調査回答者の 34% は、API セキュリティ戦略を導入していないことを認めている。また、回答者の 27% は基本的な戦略を持っているが、API テスト/保護を含む高度な戦略を持っているのは 11% に過ぎなかった。

回答者の 86% は機密データを公開している API の識別に自信がなく、85% は API 攻撃を阻止するための有効なツールを保持していないとしている。また、同じ比率の回答者は、自社の API インベントリに十分な自信がないと回答している。

API セキュリティにおける懸念事項としては、ゾンビまたは古い API に関連するリスク 43% や、アカウント乗っ取り 22% などが挙げられている。また、最適な API セキュリティ戦略を実施する上での障害としては、専門知識やリソースの不足 35%、予算の制約 20% などが挙げられている。

また、どのAPIが個人識別情報(PII)や機密データを公開しているかを特定する機能が2位(41%)、時間をかけてAPIを強化する機能(38%)、コンプライアンスや規制の要件を満たす機能(36%)に続いている。

API セキュリティ・プラットフォーム全体における最も重要な機能は、API 攻撃の阻止の 42% であり、個人識別情報 (PII) と機密データを公開する API 特定の 41% であることが分かった。 また、時間を費やしながらの API の強化 38%、コンプライアンスと規制要件への準拠 36% などが続いている。

Salt Security の VP of Marketing である Michelle McLean は、API 保護の責任はセキュリティ・チームにあるが、すべての使用されている API が本当に安全であることを確認するためには、アプリケーション開発チームとの協力関係の強化が必要だと述べている。

残念ながら、調査回答者の半数以上が、主な責任は Dev/DevOps/DevSecOps にあると回答している。API セキュリティの責任が、アプリケーションまたは情報セキュリティのチームにあると答えた回答者は 31% に過ぎなかった。ここで生じる問題は、開発する API の保護に必要なサイバー・セキュリティの専門知識を、ほとんどの開発者が持ち合わせていないことだ。Michelle McLean は、「そのために特別に設計されたプラットフォームを使って、セキュリティ・チームが実行時に API を保護する方が、はるかに効果的だ」と指摘している。

その一方で、この調査では回答者の 34% が、API セキュリティに対処する対処するためには、セキュリティ・チームと DevOps との連携が必要だと答え、API ガイドラインを策定する DevOps の 30% が、セキュリティ・チームに意見を求めていると述べている。

さらに回答者の 25% は、この課題に対応するために、DevOps チーム内にセキュリティ・エンジニアを組み込んでいる。この調査では、セキュリティ・チームの 61% が、OWASP API Top-10 リストの脅威を強調するようになり、6ヶ月前に Salt Security が行った調査と比較して 11% 増加したことが判明した。

具体的な課題としては、プリ・プロダクション・セキュリティへの投資不足の 22% や、ランタイム/プロダクション・セキュリティの不足の 18% などが挙げられている。

しかし、すでに構築され維持されている API セキュリティのレベルは、大きく異なっている。回答者の半数以上である 55% がゲートウェイからのアラートに頼っており、45% がログ・ファイル解析、37% が WAF を使って、攻撃者を特定しているという事実は、理想と現実のギャップを示している。

この調査では、デジタル・ビジネス変革の取り組みを推進するためのマイクロサービス・ベースのアプリケーションへの依存度が高まっていることなどから、APIの変化のスピードに対応することは、APIのセキュリティを確保することをより困難にしていることが示唆される。回答者の3分の1弱(31%)が毎週 API を更新し、毎日 API を更新しているのはわずか 9%だった。

この調査は、API の変更率という興味深い値も示している。デジタル・ビジネス・トランスフォーメーションを推進するための、マイクロ・サービス・ベースのアプリケーションへの依存度が高まったことで、API のセキュリティ保護はより困難になっている。しかし、毎週 API を更新すると答えた 回答者は 31% であり、毎日と答えた回答者は 9% に過ぎない。

Salt Security の Michelle McLean は、アプリケーション・セキュリティの責任を開発者側にシフトさせるという宣伝文句にもかかわらず、現実の問題として、主にセキュリティ・チームが、この課題に立ち向かうことになるだろうと述べている。問題は、開発者にセキュリティのベストプラクティスを教える方法よりも、現在配備されている外部および内部の API を保護する方法を見つけることだと、彼女は指摘している。

サイバー犯罪者が、データを密かに流出させる方法として、API に大きな関心を寄せていることは間違いない。課題は、こうした攻撃による取り返しのつかない被害を、早期に防ぐ方法を見つけることだ。

この記事の元データは、Salt Security State of API Security Report Reveals API Attacks Increased 681% in the Last 12 Months というレポートです。また、API Security Trends というページもあり、さまざまなデータのグラフでの参照と、PDF バージョンのダウンロードも可能となっています。2月25日に、「API の利便性と危険性に関する調査:どんな影響がブランドと消費者に?」という記事をポストしていますが、こちらは消費者サイドに立った、ThreatX のレポートがベースとなっています。

%d bloggers like this: