Unattended API challenge: How we’re losing track and can we get full visibility
2023/05/09 HelpNetSecurity — かつてないスピードで、API が開発/導入される現代の企業において、API スプロール (氾濫) の問題が広まり始めている。Postman の 2022 State of the API Report では、「回答者の 89%が、組織の API への時間とリソースの投資は、今後 12ヶ月間で増加するか、変わらないだろうと答えている」と指摘されている。つまり、API の開発/展開が進むだろうと、それぞれの組織は自信を持っているのだ。
このような急速な発展により、それぞれの組織において、API の存在が把握できなくなるという危険性が生じる。それにより、攻撃者が悪用する Shadow API の作成にもつながり、高額のメンテナンス費用が発生させる一因となっている。放置された API スプロールがもたらす、インシデントの可能性を説明するために、未知または古い API エンドポイントに起因する侵害の実例を3つ紹介する:
Uber (2016)
2016年に、Uber で 5,700万人の顧客とドライバーに影響を与える大規模なデータ侵害が発生した。Uber の開発者が用いる GitHub の非公開リポジトリを悪用することで、AWS の認証情報を発見した攻撃者が、機密情報を取り込んだ S3 バケットにアクセスしたと見られている。このインシデントで、Uber は $148M の和解金を支払い、同社の評価に深刻な悪影響が生じた。
Facebook (2018)
2018年に、Facebook は約 5,000万人のユーザーの個人情報が流出するという、情報漏えいインシデントに見舞われた。攻撃者は “View As” 機能の脆弱性を悪用してアクセス・トークンを取得し、他のユーザーになりすましていた。この情報漏えいは、API エンドポイントの保護が不適切であったことに起因している。Facebook は、この問題を解決するために、アクセス・トークンをリセットすることになり、約 9,000万人のユーザーの反発にさらされ、規制当局に監視されることになった。
Panera Bread (2018)
2018年に、米国のベーカリーカフェ・チェーンである Panera Bread で、数百万人の顧客の個人情報が流出するデータ侵害が発生した。情報漏洩の原因は、セキュリティが確保されていない API エンドポイントであり、氏名/Eメールアドレス/電話番号/クレジットカード番号の下4桁などの、顧客データへの不正アクセスが生じた。同社は、脆弱性報告への対応が遅く、エンドポイントを適切に保護できなかったとして、批判されている。
API 関連データ漏洩のコスト上昇
IBM Security が発表した Cost of a Data Breach Report によると、2018年〜2021年において、データ侵害のコストは着実に増加しているという。具体的に言うと、2021年のデータ侵害の平均コストは $4.24M であり、過去4年間での最高額になったことが判明している。さらに、失われたり盗まれたりしたレコード1件あたりのコストも、2018年の $148 から2021年の $164 へと上昇している。
2019/2020/2021年の Verizon Data Breach Investigations Report (DBIR) でも、API 攻撃の増加が判明している。サイバー侵害における API の占める割合は、2019年は 7%、2020年は 16%、2021年には 13% となり、最も一般的な脅威アクティビティとして特定されることになった。
API の攻撃コストは、データ侵害のコスト全体と同様の割合で増加していると推定される。異なるソフトウェア・システム間のデータ交換を容易にする API は、最新のアプリケーションでの利用が活性化し、サイバー犯罪者にとって格好の標的となっている。このような傾向が浮き彫りにするのは、コストのかかるデータ漏洩を防ぐために、API 保護に関する積極的な対策を優先させるという、企業におけるサイバー・セキュリティ対策の優先順位の見直しである。
ギャップを埋める: API の課題から解決策へ
不安定な API や Shadow API といった、API スプロールに関連するリスクに対処するための、多様なソリューションが存在する。API リスクの評価と監視に役立つアプローチの1つとして、SBOM (Software Bill of Materials) が挙げられる。SBOM を利用することで、API インフラ内の脆弱性と依存関係を特定できるようになる。
SBOM (ソフトウェア部品表) とは、製品に含まれる全てのソフトウェア・コンポーネントと、その依存関係を示す包括的な目録である。SBOM は、API の基礎となるコンポーネントを可視化し、潜在的な脆弱性の特定とサードパーティ依存関係の管理を容易にするため、API のリスク評価と監視においても重要な役割を果たす。
SBOM に加えて、クラウド環境における効果的な API ガバナンス/組織内のセキュリティ文化の促進/継続的な教育なども、不安定な API がもたらすリスクの軽減に役立つ。これらの、すべてのソリューションは、セキュアで回復力のあるデジタル・エコシステムを実現する、ユーザー企業に対するナビゲーションとなる。
WAF と API ゲートウェイを超えるもの
2019年には Capital One で、1億人以上の顧客に影響を与えるデータ侵害が発生している。攻撃者は、WAF のミスコンフィグレーションと API ゲートウェイの SSRF の脆弱性を悪用して、機密データにアクセスした。
WAF (Web Application Firewalls) と API ゲートウェイは、API 保護に広く採用されているが、それだけでは不十分な場合もある。たとえば、WAF は既知の脅威をブロックすることはできても、高度な攻撃を検知できない可能性があり、API Gateway は複雑なセキュリティ・リスクに対して十分に対応できない場合がある。API を効果的に保護するためには、継続的な監視/API ガバナンス/リスク評価などの、多層的なアプローチを採用することが推奨される。
BLST Security の CEO である Chaim Peer は、「WAF や API Gateway だけでは、API のセキュリティは不十分だ。Capital One の侵害に見られるように、高度な攻撃は脆弱性を突いてくる。組織は、デジタル資産を効果的に保護するために、即応性のある継続的な監視/API ガバナンス/リスク評価を採用する必要がある」と指摘している。
クラウド環境における API ガバナンスを理解する
クラウド環境における API の管理とセキュリティのためにも、API ガバナンスは重要であると考えられている。このプロセスには、API ライフサイクル管理のためのポリシー/標準/プロセスの確立と実施などが関与している。具体的には、以下のようなものがある:
- セキュリティのベストプラクティスと規制要件を満たすように設計された API
- 安全性/信頼性/性能などに配慮して開発された API
- コンプライアンス要件を満たすために管理された方法で展開される API
- 監視され、継続的なコンプライアンスとパフォーマンスが保証される API
クラウド環境は動的な性質があるため、ガバナンス・プロセスを可能な限り自動化することが重要である。効果的な API ガバナンスを導入することで、以下のようなメリットが生まれる:
- セキュリティのベスト・プラクティスが守られ、API による規制要件が順守される。
- API で安定した性能と信頼性が実現される。
- 組織におけるリスクや脆弱性が低減される。
- クラウド環境の変化のスピードに、セキュリティ・チームが対応できるようになる。
したがって、API のコンプライアンスを継続的に監視するためには、セキュリティ・チームにより自動化された、セキュリティのベストプラクティスと規制要件を備える、ガバナンス・ソリューションが不可欠だと考えられている。これらの自動化されたガバナンス・ソリューションは、必要な変更を迅速に実装するためにも利用される。
セキュリティ文化の推進
強固なセキュリティ文化は、安全な API の開発と実装に対してダイレクトに影響していく。セキュリティのベスト・プラクティスに精通している従業員は、堅牢な API セキュリティ・プロトコルを遵守する傾向が強い。したがって、機密データが適切に保護され、アクセスの厳密な制御が保証される。このようなセキュリティへの積極的なアプローチが、潜在的な脆弱性を防ぎ、不正アクセスやデータ漏洩の可能性を低減するのに役立つ。
セキュリティ重視の企業文化の育成は、CISO にとって最も困難な責務の1つとされることが多い。その一方で、最も刺激的でやりがいのある努力の1つでもあり、ビジネスのあらゆる側面に、育成された文化が浸透するという広範な利点を備えている。API セキュリティの文脈では、組織の貴重なデジタル資産を保護するための重要な要素である、警戒心/適応力/回復力などの考え方を、セキュリティ・ファーストが促進していく。
継続的な教育/学習の重要性
進化し続けるデジタル環境の中で、API を効果的に管理/保護する組織やセキュリティ・チームにとって最も重要なのは、API セキュリティのベスト・プラクティスや、新たなトレンドについての継続的な教育や、最新情報の入手である。
このウェビナーでは、著名なセキュリティ専門家がパネルに登場し、潜在的な攻撃に対して脆弱になる可能性がある。未知のエンドポイント API に焦点を当てながら、重要な課題に取り組む予定だ。このようなイベントに参加し、知識ベースを常にアップデートすることで、セキュリティ・チームは API を見失う要因について理解を深め、最終的に組織のセキュリティ体制を強化し、コストのかかるデータ侵害のリスクを低減できる。
おわりに
API スプロールが広がるにつれて、放置された API に関連するリスクが浮き彫りにするのは、強固なセキュリティ対策とガバナンスの実践を、組織的に採用することの必要性である。API に関連するデータ漏洩のコスト増から分かるように、かつてないほど、緊張感が高まっている。
安全ではないエンドポイント/Shadow API/急速な API 展開などがもたらす課題を克服するために、WAF や API ゲートウェイなどの従来のセキュリティ対策に留まらずに、包括的で多層的なセキュリティ・アプローチを採用する必要がある。
それらのアプローチには、API リスクの評価と監視のための SBOM の導入/クラウド環境における効果的で自動化された API ガバナンス/セキュリティと継続学習の文化の醸成などが含まれる。API セキュリティに積極的に取り組むことで、企業はデジタル資産を保護し、顧客との信頼関係の維持しながら、API に関連する潜在的なリスクの軽減を図ることができる。
API セキュリティの問題としては、2021/07/30 の時点で「API 攻撃のトラフィックが6ヶ月で 300+% も増大している」と、報道されていました。この記事では、「組織内の API エンドポイントの平均数は、2020年6月の28個から2021年には89個にまで増加している」とも指摘されています。以下は、タイトルに数値の入っている記事を、順列で並べたリストです。よろしければ、API で検索も、ご利用ください。
2022/03/02:API 2021:攻撃トラフィック量は 600% 増
2022/04/22:API:1年間で41% の企業がインシデントを経験
2022/04/27:API:悪意のトラフィックが7倍に急増
2022/06/14:API:攻撃トラフィック量が 681% 増加という現実
2022/06/22:API:全インシデントに占める割合は 4.1〜7.5%
2022/11/29:金融サービス Web App/API への攻撃が 257% 増
2022/12/06:API の無秩序な広がり:IT リーダーの 68% が懸念
2023/03/29:API:6ヶ月の攻撃件数が 400% も増加している!
IoT OT Security News 
You must be logged in to post a comment.