Zombie API と Shadow API の恐ろしさ:API 乱立の副産物に向き合う

Why Are Zombie APIs and Shadow APIs So Scary?

2022/11/01 DarkReading — API に関連するビジネス価値を、企業が最大化しようとするにつれ、API の数が急増している。DX の浸透や、マイクロサービスによるアプリの近代化、API ファーストのアプリ設計、迅速なソフトウェア・デプロイメントなどが、企業が作成/使用する API 数を急速に増加させてきた。

Question:ゾンビ API とシャドー API の違いは何か?

Salt Security の Field CTO である Nick Rago:ゾンビ API とシャドー API は、企業の昨今の課題である API スプロール (API の乱立) の、副産物を指す。

この急速な API 量産が生じた結果である、API の乱立は、複数の分散インフラ (オンプレミス/クラウドなど) で、複数のテクノロジー・プラットフォーム (legacy/Kubernetes/VM など) を活用する、複数のチーム間で、問題を顕在化させている。API スプロールを管理する適切な戦略を、それぞれの企業が持っていない場合には、ゾンビ/シャドー API などの不要なエンティティが出現する。

ゾンビ API とは、言うならば、放置されて時代遅れとなり、あるいは忘れ去られている API/API エンドポイントのことである。ある時点では、その API は何らかの機能を提供していた。しかし、その機能は、もはや必要とされていないかもしれないし、その API 自身が、バージョンに置換/更新されているのかもしれない。古い API の管理/非推奨/廃止について、企業が適切にコントロールしていない場合には、それらの API はいつまでも残ってしまう可能性がある。

ゾンビ API は、本質的に忘れ去られたものであるため、継続的なパッチやメンテナンスはもとより、機能面やセキュリティ面でのアップデートを受けることもない。そのために、ゾンビ API はセキュリティ・リスクとなってしまう。実際に、Salt Security のレポート State of API Security では、過去4回の調査において、企業の API セキュリティ懸念の第1位に、ゾンビ API が挙げられている。

その一方で、シャドー API とは、公開された API/API エンドポイントのうち、その作成と導入が水面下で行われたものを指す。シャドー API は非公式なものであり、企業の API ガバナンス/可視性/セキュリティ管理の外側で作成/導入されている。その結果として、以下のような各種のセキュリティ・リスクを引き起こす可能性がある。

  • 適切な認証とアクセス・ゲートを備えていない可能性がある。
  • センシティブなデータを不適切に露出しているかもしれない。
  • セキュリティの観点からベストプラクティスを守っていない。
  • OWASP API Security Top 10 の攻撃脅威に示される脆弱性を持つ。

開発者やアプリチームが、API やエンドポイントを迅速にデプロイしたいと思う背景には、様々な動機がある。しかし、それらの動機とは別の次元で、いつ/どのように API をデプロイするのかは、厳格な API ガバナンス戦略のコントロールとプロセスに従う必要がある。そこに API が乱立し、ゾンビ/シャドー API が出現すると、社内で正規に開発された API の範囲を超えて、リスクが高まることになる。

各種のアプリケーションやインフラ・コンポーネントの一部として導入/利用されるサードパーティ製 API も、適切なインベントリ管理/メンテナンス/ガバナンスが欠落すると、問題を引き起こす可能性がある。ゾンビ/シャドー API も、同様のセキュリティ・リスクをもたらす。企業の既存の API 管理 (またはその欠如) に応じて、ゾンビ API の問題が増大することもあれば、シャドー API の問題が増大することもある。

ゾンビ/シャドー API の問題に取り組む第一歩として、企業は適切な API 検出技術を使用して、インフラに配置された全 API をインベントリ化し、理解する必要がある。さらに、API ガバナンス戦略を採用し、チーム/技術/インフラに関係なく、API の構築/文書化/導入/保守の方法を標準化する必要がある。

10月7日の「OWASP API Top 10 [+] に注目:Shadow API を狙う 50億のリクエストなどの脅威」という記事をポストしていますが、そこには「167億件の悪意のリクエストのうち、Shadow API と呼ばれる未知かつ管理/保護されていない API を標的とするものは、約50億件 (31%) であり、幅広いユースケースに及んでいることが判明した」と記されています。この数値が、そのまま Zombie API にも当てはまるのかどうかは分かりませんが、大きな脅威になりそうだと推測できます。Zombie と Shadow の排除は、とても重要な課題ですね。

%d bloggers like this: