Google 調査:クラウドの API 利用におけるセキュリティ問題

Google: With Cloud Comes APIs & Security Headaches

2022/12/24 DarkReading — Web Application Programming Interfaces (API) は、クラウド・アプリとインフラの統合という意味で重要な役割を担っている。しかし、これらのエンドポイントへの攻撃は日々増加しており、これまでの 12カ月間において、企業の半数が API 関連のセキュリティ・インシデントが発生したと認めている。Google Cloud が実施した調査によると、企業の API 利用に影響を与える、最も厄介なセキュリティ問題として挙げられるのは、セキュリティのミスコンフィグレーション/古い API やコンポーネント/スパムとボットによる侵害である。そして、40% の企業はミスコンフィグレーションによるインシデントに対して、33% 企業は後者の2つの問題に対して、取り組んでいるという。

500人以上のテクノロジー・リーダーを対象とした調査によると、67% の企業はテスト段階で API 関連のセキュリティ問題/脆弱性を発見している。その一方で、60% 以上の企業は、ソフトウェア開発プロセスやアプリケーションの展開中に、リアルタイム監視により問題を発見していたことが明らかになった。

Google Cloud の ビジネス・アプリケーション・プラットフォームの製品責任者である Vikas Anand は、「こうした問題にもかかわらず、77% の企業は、問題を発見するために必要な API ツール/ソリューションがあると信じている。既存のツールに自信があるとしても、それは安全の根拠にならない。セキュリティの状況は変化している。API の量が劇的に増加しているため、API はアプリケーション・セキュリティの新たな戦場になっている」と述べている。

Web API への関心は、コロナウイルスの大流行によるビジネスの混乱を受け、企業が過去2年間にデジタル変革を加速させてきたことに起因している。Google が 770人のテクノロジー・リーダーを対象に行った2回目の調査では、ほぼ全ての企業 (93%) が、自社の業務の大半をクラウド・ベースにしていると回答したが、この値は2年前の 83% から上昇している。その一方で、大半がオンプレミスと回答した企業は、同期間において 16% から 7% に半減している。

Source: Google Cloud

ある推計によると、2020年以降の API に関連するセキュリティ・インシデントの損失は、$12 billion から $23 billion にものぼるという。そして、攻撃対象は、ますます拡大している。平均的な大企業は、2021年の3倍にあたる、15,600 もの API を保有している。

API:クラウド・トランスフォーメーションへの鍵

調査対象の組織の 46%が API の使用を自社内のみにとどめている一方で、半数以上 (54%) がパートナー/顧客/外部開発者などに対して、サードパーティ開発を促進するための API 使用を認めていることが、Google の調査により明らかになった。

Google Cloud は、The Digital Crunch Time: 2022 State of APIs and Applications レポートの中で、「API は、マイクロ・サービスとともに、開発およびメンテナンスのコストを削減しながら、顧客に対して新しいエクスペリエンスを迅速に提供するため、アプリケーションの近代化とデジタル・トランスフォーメーションにとって不可欠だ」と述べている。

Google Cloud の第2回レポート API Security Latest Insights & Key Trends によると、賢明な企業は API セキュリティ投資を優先しているという。60% の企業がセキュリティ脅威をプロアクティブに特定する能力の向上を目指し、57% がセキュリティの自動化とオーケストレーションを導入しているようだ。

また、約半数の企業が、API サーバのリアルタイム監視を拡大し、人工知能と機械学習 (AI/ML) システムを用いて、より優れた方式による欠陥の発見と攻撃の検出を行うという意向を示している。

Anand は、「企業が、こうした脅威に対して、リアクション型からプロアクティブ型へと移行するにつれて、セキュリティ・ツールに AI/ML モデルが、より広く採用されるようになるだろう。ML ベースのルールは、単に自動化するだけでなく、それらの経験から継続的に学習するという、その自然な進化形だ」と述べている。

API の成熟がクラウドを成功に導く

当然のことながら、API の利用経験が豊富な企業ほど、よりクラウド・ネイティブな運用への移行に成功している。

およそ3分の1の企業 (34%) が、API に対する成熟したアプローチをとっており、組織全体で API ファースト戦略を推進し、API 管理プラットフォームを利用している。これらの企業は、API の成熟度が低い組織と比較して、効率化/コラボレーション/アジリティなどの向上にも成功している。

Google Cloud の成熟度の定義によると、サイロ化した API/集中管理されない API に悩まされ、セキュリティのために API ゲートウェイを持つ組織が、未熟な傾向にあるという。

同社は、「我々の調査が示すのは、成熟した API 組織は、成熟度の低いAPI組織と比較して、デジタル・トランスフォーメーションが大きく先行しているという傾向である。テクノロジー・リーダーは、API がもたらす価値を、すでに理解している」と述べている。

Google のレポートによると、API ベースのアプリケーション・インフラに移行する企業にとって、API セキュリティは最も重要な要素と考えられており、66% の企業が重要視しているとのことだ。その他にも、API パフォーマンス分析/API ガバナンスなども、上位に挙げられている。

Anand は、「API セキュリティは、最終的に、End-to-End セキュリティ戦略全体の一部となる必要がある。すべてのセキュリティ製品をシームレスに統合することで、ポートフォリオ全体のセキュリティ価値を高めることが容易になる」と述べている。

Google のレポートをベースにした記事ですが、いまの API を取り巻く状況が浮き彫りにされています。最近の API に関する記事としては、11月1日の「Zombie API と Shadow API の恐ろしさ:API 乱立の副産物に向き合う」および、11月29日の「金融サービス Web App/API への攻撃が 257% の急増:Akamai の調査レポート2022」、12月6日の「API の無秩序な広がり:IT リーダーの 68% が最大の懸念を示す」などがあります。Google の API Security Latest Insights & Key Trends も、ご参照ください。

%d bloggers like this: