API セキュリティ調査：全インシデントに占める割合は 4.1〜7.5％

One in every 13 incidents blamed on API insecurity – report

2022/06/22 DailySwig — サイバー・セキュリティ・インシデントの原因のうち、API の不安定さが 4.1〜7.5％を占めていることが、最新の研究により明らかになった。Marsh McLennan Cyber Risk Analytics Center が実施した調査は、約11万7000件のユニークなサイバー・セキュリティ・インシデントの分析をベースにしたものであり、大企業ほど API 関連のインシデントが増加する傾向にあることが、統計的に判明している。大企業は、中小企業と比べて３〜４倍も、API セキュリティ問題を経験する可能性が高かったのである。

この調査を実施したサイバー・セキュリティ・ベンダー Imperva は、DX とビジネス展開の加速により、大企業における API は、露出／非保護というリスクを、より多く抱えるようになったと述べている。

API とは ソフトウェア技術の一種であり、アプリケーションによるデータ・アクセスや、外部のソフトウェア・コンポーネント／オペレーティング・システム／マイクロサービスと連携するためのブリッジを提供するものである。

多くの API は、機密データが保存されているバックエンド・データベースに、ダイレクトに接続している。この特徴に攻撃者が目を付け、現代のオンラインサービスにおける構成要素が標的とされている。

API を介した攻撃の例としては、サービスを停止させる DDoS 攻撃から、通信を傍受／窃取／変更／リダイレクトする中間者攻撃、悪質なコードの注入、サービスやアカウントの乗っ取り、多くの API が接続する膨大なデータベースからの情報窃取にいたるまで、ターゲットに損害を与えるあらゆる攻撃が挙げられる。

Imperva は、サイバー・インシデントの 13件に 1件は、API の安全性の欠如が原因であると述べており、API の実稼働率の増加に伴い、この数字は増大の一途をたどると予想している。

規模の拡大

Imperva は The Daily Swig に対して、「大企業は多くの API を持つが、そのエコシステムの可視性は限られている。したがって、より多くの API が脆弱な状況に置かれ、この問題にさらされ易くなる」と述べている。

Imperva の VP of API Security である Lebin Cheng は、「API に関連するセキュリティ・リスクの増大は、組織における API の普及と、これらのエコシステムに対する可視性の欠如に相関している。同時に、すべての API がユニークであるため、すべてのインシデントが異なる攻撃パターンを持つことになり、１つの単純なパッチで、すべての脆弱性に対処するという、従来のセキュリティのアプローチが通用しない。また、API の普及は、これらのエコシステムの可視性の欠如と相まって、大規模でコストのかかるデータ漏えいの機会を作り出している」とコメントしている。

数値で見る

Imperva の調査では、分野や業界に応じて、API セキュリティ関連の問題にさらされる範囲に、大きな差異があることが分かった。たとえば、IT 業界では、API の不安定さが原因で発生したインシデントの推定割合は 18〜23% だった。

同じ指標で見ると、プロフェッショナル・サービス分野も API 関連の問題に大きくさらされており (10％～15％)、製造／輸送／公共事業 (４%～６％) は中位に位置している。その一方で、ヘルスケアなどの業界では、API 関連のセキュリティ問題に起因するセキュリティ・インシデントは１%未満である。

多くの組織が、API の保護に失敗している。その原因は、これまで多少対立してきたセキュリティ・チームと開発チームの、平等な参加が欠如している点にある。

Lebin Cheng は、「API は、常に開発チームによりアップデートされるため、セキュリティ・チームが追いつくことは、ほぼ不可能である。つまり、標準的なアプローチを用いれば、API の脅威も最小限に抑えられるという期待があり、また、多くのケースで効果のないツールに依存してきたという背景がある。それらの防御策は、ビジネス・ロジックの脆弱性を狙うという、API を標的とする高度な攻撃を阻止するためのものではない。API は、開発チームにより作成／管理されており、セキュリティ・チームの管轄外であることが多い。さらに、各 API は、特定のアプリケーションのニーズに合わせて設計されていることが問題を複雑にしている」と語っている。

Imperva が Marsh McLennan Cyber Risk Analytics Center に委託したレポートは、Quantifying the Cost of API Insecurity (API セキュリティのコストの定量化) と題され、問題に対処するためのアドバイスで結ばれている。これには、すべての API を流れるデータの特定と分類／API のディスカバリーの自動化／API ガバナンス・モデルの有効化などが含まれている。

簡潔な記事ですが、Imperva の Quantifying the Cost of API Insecurity を読みたくなる構成になっていますね。ダウンロードして、さっと眺めてみましたが、さまざまなデータがグラフ化されており、読みやすいレポートだという印象です。なお、API 侵害による年間の経済損失は、米国で $12-23 billion、グローバルで $41-75 billion とのことです。