How to Improve Your API Security Posture
2023/06/08 TheHackerNews — API (Application Programming Interfaces) は、アプリやマイクロサービスに対して、データを通信/共有する権限を与えるものだ。しかし、このような接続性には大きなリスクがつきものとなる。API の脆弱性を悪用するハッカーたちは、機密データへの不正アクセスや、システム全体の制御を奪うことも可能になる。したがって、潜在的な脅威から組織を保護するために、堅牢な AP Iセキュリティ体制を構築することが必要不可欠となる。
API 体制管理とは?
API 体制管理とは、API のセキュリティ体制を監視/管理するプロセスのことを指す。このプロセスに含まれるのは、攻撃者に悪用される可能性のある、潜在的な脆弱性やミスコンフィグレーションの特定および、それらを修正するために必要な措置を講じることである。また、この体制管理は、組織における機密データの分類をサポートし、GDPR/HIPAA/PCI DSS などの主要データ・コンプライアンス規制への準拠も容易にする。
前述のとおり、API が提供するものには、機密データやシステムへのダイレクトなアクセスなどが多く含まれるため、攻撃者にとって格好の標的となる。したがって、API 体制管理ツールを導入し、潜在的なセキュリティ問題を悪用される前に、プロアクティブな特定/修正を行うことが推奨される。
詳しくは、無料でダウンロード可能な、Definitive Guide to Posture Management を参照してほしい。
APIの姿勢管理はどうやって行われるか?
API 体制管理には、いくつかの重要なステップがある。
- 発見:最初のステップは、組織内で使用されている、すべての API を特定することだ。これは、自動化されたツールの使用、もしくは、手動によるインベントリ作成が達成される。
- 評価:API を特定したら、潜在的な脆弱性やミスコンフィグレーションの有無を評価する必要がある。これは、既知の脆弱性について API をスキャンするツールの使用、もしくは、手動によるペネトレーション・テストにより達成される。
- 改善:特定された脆弱性やミスコンフィグレーションを改善する必要がある。そこに含まれるものは、パッチの適用/API の再設定/追加のセキュリティ制御の実装などである。
- 監視:最後に、API が安全であることを保証するために、継続的な監視が必要となる。そこに含まれるものは、侵入検知システム/ログ分析/監視ツールなどの導入になるだろう。
API のセキュリティ体制を改善する方法
ここでは、APIのセキュリティ体制を改善するのに役立つ、いくつかのベストプラクティスを紹介する。
1. 安全な認証/認可メカニズムの使用
認証と認可の仕組みは、API セキュリティの重要な構成要素となる。認証と認可の仕組により、許可されたユーザーだけが API にアクセスし、特定されたアクションだけを実行するという制約が設けられる。不正なアクセスから API を保護するためには、OAuth 2.0/OpenID Connect などの、安全な認証と許可の仕組みの活用が不可欠となる。
2.RBAC (Role-based access control) の実装
RBAC (Role-based access control) は、ユーザーのロールに基づいて、リソースへのアクセスを制限するためのセキュリティ・モデルである。RBAC は、ジョブの遂行が許可されたユーザーだけにアクセスを制限することで、機密データへの不正アクセスを防止する。
3.SSL/TLS 暗号化通信を利用する
SSL/TLS暗号化とは、クライアントとサーバ間で伝送されるデータを、暗号化するためのセキュリティ・プロトコルである。それにより、盗聴が防止され、データの安全な伝送が保証される。中間者攻撃から API を保護するために、SSL/TLS暗号化を使用することが不可欠となる。
4.レート制限の導入
レート制限とは、特定の時間内に実行できる、API リクエスト数を制限する手法のことである。API の不正利用を防止し、また、すべてのユーザーがAPIを利用できるようにする。レート制限を実装することで、サービス拒否 (DoS) 攻撃に対しても、API を保護できる。
5.APIアクティビティの監視とログ
API アクティビティを監視し、ログに記録することで、疑わしいアクティビティやセキュリティ侵害の可能性を検出できる。そのためには、API アクティビティをリアルタイムで監視し、すべての API リクエストとレスポンスをログに記録することが不可欠となる。これにより、セキュリティ・インシデントを特定し、適切な措置を講じることが可能となる。
6.定期的な API セキュリティ監査の実施
定期的な API セキュリティ監査を実施することで、初期導入時に見逃していた脆弱性やミスコンフィグレーションを発見できる。対象となる API が安全であり、業界標準に準拠していることを確認するために、定期的なセキュリティ監査を実施することが不可欠となる。
結論
API は、現代のソフトウェア開発において重要な要素となっている。しかし、API の利用が進むにつれて、セキュリティ侵害のリスクも高まっている。API 体制管理を実施することで、API セキュリティ体制を改善し、潜在的な脅威から組織を保護することが可能となる。また、この記事で紹介したベストプラクティスに従うことで、セキュリティ侵害のリスクを低減し、API が安全で業界標準に準拠していることも確認できる。
この noname の Definitive Guide は、APIセキュリティ体制マネジメントの、主要な要件に焦点を当てたものである。ココでダウンロードできる。
先日に、OWASP API Top-10 Risk 2023 が公開されたこともあり、API 関連の記事が増えているようです。今日の、noname の記事の他にも、2023/06/06 には「API は何ができる? 何ができない? どうしたら安全に使える?」という記事もポストされています。よろしければ、カテゴリ API も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.