API セキュリティの調査：悪意の API トラフィックが７倍に急増

API Attacks Soar Amid the Growing Application Surface Area

2022/04/27 DarkReading — アジャイル開発の普及に伴い、Web API の利用が劇的に増加し、ソフトウェア関連企業における攻撃面積が拡大したことで、より脆弱な状態へと陥っている。最近の２つのレポートによると、平均的な企業における API 保有数は 15,600 を数え、この１年で３倍増となり、トラフィック量は４倍増の 8億2000万リクエスト／年に達しているとのことだ。

そして、アプリケーション開発者の行くところには、攻撃者がついてくる。API セキュリティ企業である Salt Security の３月のレポート State of API Security 2022 Q1 によると、この１年間で、悪意の API トラフィックは約７倍に急増している。

Salt Security の Chief Product Officer である Elad Koren は、「開発形態の変化と、サードパーティのソフトウェア・コンポーネントに存在する脆弱性の増加により、API を介した悪用の可能性は高まり、攻撃者にとって使いやすいインターフェースは、今後のターゲットになっていくだろう。攻撃対象が拡大しているため、攻撃も拡大している。しかし、それだけではない。Spring4Shell や Log4j のような新しい脆弱性も、この攻撃対象領域の一部であり、これら全ての脆弱なサーフェスが、脅威アクターたちのターゲットになっている」と述べている。

Forrester Research の Principal Analyst である Sandy Carielli は、「この傾向は、アプリケーション・セキュリティにおける最新の課題である。開発チームは、クラウドやネットワーク上の各種コンポーネントをリンク API について、完全に文書化することなく、迅速に開発を続けている。その結果として、企業は自社の API インベントリを把握できず、また、それらの API の安全性について判別できずにいるかどうかを把握できない」と述べている。

Sandy Carielli は、「したがって、API セキュリティがビジネス・アナリスト会社のブリーフィング Top-5 に入ったとしても不思議ではない。悪意のトラフィックが増加していても、それは驚きではない。より多くの企業が API を利用するようになれば、アプリケーション・トラフィックに占める API の割合が高くなり、当然、そのチャネルを経由する悪意のトラフィックが増えることになる」と述べている。

API の攻撃対象領域を抑制する

API セキュリティ企業 Noname Security の CEO である Oz Golan は、「API のインベントリとトラフィックの増加の背景には、クラウド・ネイティブとアジャイル開発手法への移行がある。アプリケーション開発の典型的なスプリントは２～３週間であり、開発チームが API の設定ミスや脆弱性を持ち込む機会が何度もある。組織におけるデジタル・トランスフォーメーションのプロセスが、より広範囲で迅速に推進されるにつれ、より多くの API の脆弱性が表面化し、悪用されるようになるだろう。業務スピードを落とし、大規模なテストを行わない限り、リリース後にリスクにさらされることになる」と述べている。

Noname Securityがスポンサーを務め、S&P Global Market Intelligence が発行した The 2022 API Security Trends Report によると、平均的な企業は 15,600 近くの API を所有し、また、この１年で 41% の企業が API セキュリティ・インシデントに遭遇しているという。しかし、これらの調査結果は、API セキュリティ・ベンダーがデータ収集に用いる基準が一定ではないため、その調査結果が不正確だと認識されている。たとえば Salt Security が３月に発表した State of API Security によると、平均的な顧客は 135 の API を所有し、APIセキュリティ・インシデントの発生率は 95％ だとされている。

この種の数字は、時として大きく異なるが、両社とも顧客の API 使用量の伸びと、悪質な API トラフィックの伸びが、相対していると報告している。

API セキュリティの課題を整理する

そのため、企業は自社の API 利用と、従業員による API 利用について、それぞれの API の提供元／提供先／種類／データ機密性／所有者／アクセス認証などについて、正確に把握する必要がある。これまでのところ、企業は API インベントリの追跡が上手くできていないと、Forrester Research の Sandy Carielli は言う。

彼女は、「すべての API の仕様ファイルを開発チームが作成し、それを最新の状態に保ち続けるのが理想だ。しかし、私たちは理想郷に住んでいるわけではない。多様なツールを用いて、トラフィックを分析し、API のプレリリース・テストを行い、適切な管理が行われていることを確認する必要がある」と指摘している。

Salt Security の Elad Koren は、「API を保護するための手順は、アプリケーションのセキュリティ全体と密接に関連している。安全な設計と脅威のモデル化に注力することで、脆弱性が深刻な問題 (そして修正に費用がかかる問題) へと発展する前に、それを回避することが可能になる。攻撃者のデータを収集するのと同様に、API の導入後のテストとモニタリングは、開発中に発見されなかった問題に対処するために重要となる」と述べている。

彼は、「設計段階で API セキュリティを考慮し、セキュリティ上の問題を可能な限り修正していくことは重要だが、ランタイム・セキュリティも同様に必要となる。なぜなら、攻撃者の戦術を可視化し、アプリケーション所有者に安心感を与えられるからだ。現状において、開発側のパイプライン・セキュリティは極めて重要だが、ランタイム・セキュリティと互換性があるわけではない。どんなに優れたツールを使っても、開発段階で全ての問題を解決できるわけではない。この２つの視点には互換性がないため、ランタイムでの対策が必要になる」と述べている。

この記事に元データを提供している、Salt Security の３月のレポート State of API Security は、約 20ページほどのもので、たくさんのチャートから、さまざまなデータが参照できるようになっていますので、ぜひ、ご参照ください。また、API セキュリティに関する最近の記事としては、「API セキュリティの調査：この１年間で41% の企業がインシデントを経験している」がありますが、文中でも紹介されているように、451 Research と Noname Security のレポートが元になっているようです。よろしければ、合わせて ご参照ください。