ユーザー向け API の保護:HTTPS を使わない 30% の接続という現状

30% of customer-facing APIs are completely unprotected

2024/10/08 HelpNetSecurity — ユーザー向け API の 70% は HTTPS により保護されているが、残りの 30%は保護されていないと、F5 が指摘している。これまでの10年間における、セキュアな Web 通信の推進により、いまでは Web ページの 90% が、HTTPS 経由でアクセスされ用になってきたが、API に関しては対照的な状況にあるとも言える。

F5 のエンジニアである Lori MacVittie は、「組織間において重要なサービスとアプリケーションを接続する、デジタル・トランスフォーメーションの取り組みでは、API がバックボーンの役割を担い始めている。ただし、当社のレポートが示すように、特に AI 主導の脅威が出現している状況において、これらの貴重な資産を保護するために必要なセキュリティ要件に、数多くの組織が追いついていない」と述べている。

顧客向け API は依然として脆弱

一般的な組織の平均において、現時点で 421種類の API が管理され、その大半はパブリック。クラウド環境でホストされている。このように API は成長しているのだが、かなりの数の API は、特に顧客向けの API は適切に保護されていない状況にある。

OpenAI などの AI サービスに、API を介して接続するケースが増えるにつれて、インバウンドとアウトバウンドの API トラフィックをカバーする、セキュリティ・モデルが必要になる。現在のプラクティスは、主にインバウンド・トラフィックに重点を置いており、アウトバウンド API の呼び出しは脆弱な状況にある。

組織の 80% は、API 設計フェーズにおいて、API セキュリティへの取り組みを開始している。また、59% は API ライフサイクルの全段階でセキュリティを組み込んでいると述べている。さらに、すべての段階でのセキュリティへの対処を重視する、Secure Development Lifecycle (SDLC) プラクティスについては、組織の 87% が採用もしくは採用の予定だという。

一部の API は、マイクロサービス・アーキテクチャ内の mTLS からのアクセス制御から、DDoS およびボット防御や、API 固有のセキュリティ対策にいたるまで、セキュリティ・サービスのバブル内に存在している。その結果として、これらの API は適切に保護されていると言える。ただし、10% 未満の割合で、完全な保護が達成されていない状態になっている。ほとんどの組織において、API が広く使用されていることを考えると、それ程の問題ではないかもしれない。ただし、顧客向け API の 30% 以上が全く保護されていないのは、大きな問題だと思える。

一般のユーザーやパートナーがアクセスするアプリであっても、運用統合であっても、API を保護せずに放置するのは賢明ではない。ゼロトラスト・セキュリティ・モデルを採用している組織は、アプリを超えて考え方を拡大し、あらゆるソースに対する API リクエストの、認証/承認/検証を達成する必要がある。

API セキュリティに対する責任の分散

このレポートでは、API セキュリティに対する責任が、組織内で分散されていることが示されている。アプリケーション・セキュリティでの管理が 53% であり、API 管理および統合プラットフォームでの管理が 31% である。この分割により、カバレッジ・ギャップが引き起こされ、セキュリティ・プラクティスの一貫性が失われる可能性が生じる。

回答者たちは、最も価値のある API セキュリティ機能として、プログラマビリティをランク付けしており、API トラフィックと脅威に対するリアルタイムの検査と対応の必要性を強調している。

このレポートが推奨するのは、これらのセキュリティ ギャップに対処するために、設計から展開までの API ライフサイクル全体をカバーする、包括的なセキュリティ・ソリューションの組織的な採用である。API セキュリティを、開発フェーズと運用フェーズの両方に統合することで、増え続ける各種の脅威から、デジタル資産を適切に保護できるようになる。

MacVittie は、「API は AI 時代に不可欠なものであるが、AI とデジタル・サービスを安全かつ効果的に機能させるには、API の保護が必要である。このレポートが組織に対して呼びかけるのは、API セキュリティ戦略を再評価し、データとサービスを保護するために必要な手順を踏むことである」と締め括っている。

API の 30% が、HTTPS ではなく、HTTP で接続されているという、ちょっと驚きの分析結果が、F5 から提供されました。このような指摘は、とても有り難いですね。この F5 のレポートである “The Secret Life of APIs” には、それ以外の統計値も、わかりやすいグラフで解説されています。よろしければ、カテゴリ API と併せて、ご参照ください。