API セキュリティ戦略を見直す:魅力的な侵入経路を脅威アクターに提供しないために

The importance of a good API security strategy

2024/02/21 HelpNetSecurity — Cloudflare 2024 API Security & Management Report によると、今年の API リクエストはグローバルにおけるインターネット・トラフィックの 57% を占めることになり、現代のソフトウェア開発における極めて重要な要素としての、API の存在が裏付けられている。しかし、API の採用が毎年のように増加するにつれて、関連するセキュリティ上の課題も増加している。過去の2年間において、60% のユーザー組織が、API に関連する侵害を少なくとも1回は経験している。これは憂慮すべき傾向であり、対処すべき問題である。

不十分な API セキュリティの結果

ハッカーたちが API の悪用を好む背景には、多くの理由がある。その中で、主な理由として挙げられるのは、セキュリティ管理を回避する API を介した、機密データや特定の機能への容易なアクセスである。

先日に SNS プラットフォーム Spoutible の API が公開されたインシデントでは、ユーザーの 2FA シークレットや、暗号化されたパスワードリセット・トークンなどが、攻撃者に盗まれた可能性が生じている。

この種のインシデントが生じると、顧客であるユーザや、ビジネス・パートナーの信頼を失い、その結果として、財務的損失やブランド価値の低下につながる可能性がある。

また、API セキュリティの不備は、規制や法的な面でも影響を及ぼし、企業運営を混乱させ、知的財産の盗難につながる可能性さえある。

API に対する攻撃

攻撃者たちは、API に対して多様な攻撃を仕掛けることができる:

  • DDoS
  • Brute force
  • Code injection
  • Man-in-the-Middle (MitM)

Wib の Product Team Lead であった Yonathan Michaeli は、「API の性質からして、よりシンプルな攻撃が可能であり、より壊滅的な被害が生じやすい。従来からのサイバー・キルチェーンでは、システムを悪用して侵害する攻撃者は、7つのステップを通過する必要があるとされてきた。しかし、API は悪用が簡単であるため、そのキルチェーン3つのステップ (偵察/武器化/悪用) へと、きわめて効果的に短縮される。API を悪用する攻撃者は、簡単なリクエストを行うだけで、大量の機密情報にアクセスできる」と指摘している。

戦略の立案

優れた API セキュリティ戦略は、デジタル資産を安全に保ち、機密性の高い顧客データの保護を必須とする、すべての組織にとって不可欠である。

OWASP は、API セキュリティの脅威 Top-10 のリストを常に更新している。このデータだけに、セキュリティ担当者は頼るべきではないが、それでも、このリストは、耐性のあるセキュリティ戦略を計画する際に不可欠なツールである。

NIST の Cybersecurity Framework を遵守することも、優れた API セキュリティ戦略を計画する上で不可欠なステップだ。サイバー・セキュリティ・プロセスの主要な段階 (特定/保護/検知/対応/復旧) は、優先度の高いリスクに対処するための普遍的なアプローチである。

それらのことを念頭に置き、企業は API セキュリティのベストプラクティスを実施する必要がある。Check Point が強調するのは、以下の項目である:

  • 認証と認可の導入
  • SSL/TLS 暗号化の使用
  • Zero Trust アクセス・コントロールの導入
  • 定期的なセキュリティ・テストとリスク評価の実施
  • 定期的なアップデートと脆弱性への迅速なパッチ適用
  • 継続的な監視と異常時の警告
  • API ゲートウェイの使用
  • WAAP (Web Application and API Protection) ソリューションの使用

さらに推奨されるのは、Masking/Filtering/Anonymization による、データ露出の制限と API エンドポイントの管理であり、また、セキュリティ・ポリシーの自動化である。

最後になるが、最も重要なことは、開発チームと IT チームに対する一貫した教育/訓練であり、API セキュリティのベスト・プラクティスに加えて、進化する新たな脅威について理解を深めることである。API にセキュリティを組み込むことは、API の脆弱性がセキュリティ・ホールにならないようにするための、最善の方法である。

Cloudflare の 2024 API Security & Management Report は有り難いですね。全体で 30ページほどの力作となっていて、さまざまな統計値がグラフで表現されています。興味深かったのは、Common API Errors の項目であり、トップは 429:Too many requests で、51.6% となっていました。よろしければ、OWASP API で検索も、ご利用ください。