The fragmented nature of API security ownership
2023/05/23 HelpNetSecurity — Traceable AI によると、API セキュリティの重要性が、今年もサイバーセキュリティにおける最大の課題であるが、ほとんどの企業において、驚くほど対策が実施されていないという。それぞれの企業が苦慮しているのは、チェックされていない API の氾濫 (API Sprawl) および、API セキュリティにおける不明確な責任の所在に加えて、セキュリティ能力の一部として、その動作がベースライン化されていない点である。
組織は API セキュリティを見落としている
サイバーセキュリティ専門家 100人以上の知見によると、69% の組織が API をサイバーセキュリティ戦略に取り込んでいると主張している。しかし、40% の組織は API セキュリティに特化した専門家やチームを有していない。また、23% の組織は、責任を持つべき API セキュリティの存在について、把握していないことが明らかになった。
これまでの 12ヶ月間において、多くの組織 (61%) が API 攻撃を経験したことがないと捉えている一方で、驚くべきことに、36% の回答者が分からないと回答している。
組織は API の乱立に悩まされている
- 40% の組織には、AP Iセキュリティの専門家やチームが存在しない。
- 回答者の 38% は、API を CISO が所有していると主張し、25% は開発部門/DevOps が所有していると主張している。
- 回答者の 66% は、API の氾濫に悩まされているると回答し、効果的な管理が行われているかどうかを判断できないと回答している。
- サイバーセキュリティ専門家の 40% が、API セキュリティ・ソリューションを導入していないと回答し、また 29% は、自社における API セキュリティの確保について把握していないと回答している。
- API セキュリティ・ツールを導入している企業の 25% は、API の動作をベースライン化できていないと回答し、API 攻撃を示す可能性のある異常な動作を特定てきないと回答している。
Traceable の CSO である Richard Bird は、「API は普遍的な攻撃ベクターであり、近年における最大のデータ漏洩の原因となっている。しかし、40% の組織が、この問題に取り組むための、API セキュリティの専門家やチームを持っていない。また、23% が、チームの必要性について判断できないという状況は、きわめて気になる点である。同様に懸念されるのは、40%の 組織が、API セキュリティ・ソリューションを導入していないことだ」と述べている。
Bird は、「かつて、ハッカーは、データを探し出し、システムに干渉するために、既存の防御を回避する戦略を考案する必要があった。しかし、現在では、セキュリティ・スタックにおけるソリューションを悪用することなく、単に API を悪用するだけで、機密データへのアクセスを得ることが可能となっている。したがって、数多くの企業が API セキュリティに真剣に取り組み、より広範なサイバーセキュリティ戦略における、不可欠なパートとして捉える必要がある」と結論付けている。
API の責任者は誰なのかという問題ですが、それぞれの組織ごとに、それぞれの線引が行われているという状況なのでしょうか?それに加えて、2023/05/09 の「API の氾濫という深刻な問題:過去のインシデントを学習して将来を見据える」に記されているように、この世界は API の氾濫とも言うべき状況に陥っています。だれが、どのようにして、API のセキュリティを考えるのかという点を、もう一度、見直すべき時期にきているのでしょう。
IoT OT Security News 
You must be logged in to post a comment.