2024年こそ見直したいAPIセキュリティ、対策強化が不可欠な理由とは
マイナビニュース / 2024年5月7日 11時25分
APIがアプリケーションの発展にとって欠かせない存在に
ソフトウェアの接続を通じ、技術の民主化やイノベーションの加速化を実現するAPI(アプリケーション・プログラミング・インタフェース)は、オンライン体験の向上において重要な役割を果たします。
APIファーストを推進する企業も少なくなく、既存の技術を活用し、さまざまなサービスやアプリケーションをAPIで連係することが標準となりつつあります。Impervaが公開した調査レポート「2024年版APIセキュリティの現状」では、Webトラフィックの71%以上がAPIトラフィックであることに加え、企業サイトへのAPIコール数が年間平均15億回にも上ることが明らかになりました。
一方、APIの普及は新たなセキュリティ上の課題を生み出します。自動化を前提とし、人的リソースを必要としないAPIの基本構造は、効率性や拡張性を向上する一方で、自動化された攻撃が大規模に広がりやすい環境を作り出します。
前述の調査レポートによると、APIに対する攻撃の19%が自動化された悪性ボットによるものであり、アカウント乗っ取り(ATO)攻撃の半数近く(46%)がAPIエンドポイントを標的にしています。
APIセキュリティを巡る現状の課題
OWASPが2023年に発表したAPIセキュリティ課題の上位5つのうち、3つがビジネスロジックの悪用に関連しています。ビジネスロジックとは、ユーザーインタフェースの動作や他システムとの相互作用などを定義するルールやアルゴリズムを指す、アプリケーションの中核部分です。
ビジネスロジック攻撃は、通常のトラフィックを装い、各アプリケーションのロジックに合わせてワークフローを操作するため、Webアプリケーションファイアウォール(WAF)のような従来のセキュリティツールでは検知や阻止が困難です。
また、APIセキュリティを強化するうえで、シャドーAPI(組織内で認識や管理されていないAPI)が課題となっています。シャドーAPIは、組織のガバナンスが及ばないところに存在し、機密データの漏洩やコンプライアンス違反のリスクを増加させます。中には、非推奨のAPIが削除されないままシャドーAPIとなったり、公開されていなかった既存のAPIが不注意によって公開されてシャドーAPIになったりと、社内の管理方法に起因するものもあります。
そのため、セキュリティ対策を見直すための第一歩として、組織内のすべてのAPIを把握および管理することが重要です。
-
- 1
- 2
この記事に関連するニュース
-
【5月28日開催】Webアプリケーションの脆弱性を狙ったサイバー攻撃で疲弊しない「WAF・SOC運用」を実現するには? ~SOC導入により高度なセキュリティ対策を実践する企業の運用事例を踏まえて解説~
PR TIMES / 2024年5月9日 13時45分
-
『WAFだけでは解決しない、Webの脆弱性対策』というテーマのウェビナーを開催
PR TIMES / 2024年5月9日 10時45分
-
CDNetworks、最新AI搭載クラウドセキュリティ2.0提供開始 WAAPソリューションをアップグレード
PR TIMES / 2024年4月30日 14時45分
-
Fastly、エッジでの脅威検出とブロックを支援する新たなボット管理ソリューションを発表
PR TIMES / 2024年4月23日 22時40分
-
モチベーションワークス、レイヤー7のWeb DDoS攻撃対策にラドウェアのクラウドアプリケーション防御サービスを採用
PR TIMES / 2024年4月22日 11時45分
ランキング
-
1「現場を知らなすぎ」 政府広報が投稿「令和の給食」写真に批判続出…… 識者が指摘した“学校給食の問題点”
ねとらぼ / 2024年5月18日 7時30分
-
2「Lenovo LOQ 15IRX9」レビュー、17万円で最新パーツ搭載・フルHDゲームを快適に楽しめるゲーミングノートPC
マイナビニュース / 2024年5月19日 8時0分
-
3ダイソーで110円の「スマートフォンレンズセット」を半信半疑で試してみる 「魚眼」は実用可能
ITmedia Mobile / 2024年5月19日 11時30分
-
4『HUNTER×HUNTER』の冨樫義博がXで怒り 立て続く“誤配”で「三度目です」「次はもう知らん」
ねとらぼ / 2024年5月18日 16時57分
-
5FC版『ドラクエ』のローラ姫はナゼさらわれた? 「めとるため」とはいえないワケ
マグミクス / 2024年5月18日 21時25分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください