2024年こそ見直したいAPIセキュリティ、対策強化が不可欠な理由とは

画像提供：マイナビニュース

APIがアプリケーションの発展にとって欠かせない存在に

ソフトウェアの接続を通じ、技術の民主化やイノベーションの加速化を実現するAPI（アプリケーション・プログラミング・インタフェース）は、オンライン体験の向上において重要な役割を果たします。

APIファーストを推進する企業も少なくなく、既存の技術を活用し、さまざまなサービスやアプリケーションをAPIで連係することが標準となりつつあります。Impervaが公開した調査レポート「2024年版APIセキュリティの現状」では、Webトラフィックの71％以上がAPIトラフィックであることに加え、企業サイトへのAPIコール数が年間平均15億回にも上ることが明らかになりました。

一方、APIの普及は新たなセキュリティ上の課題を生み出します。自動化を前提とし、人的リソースを必要としないAPIの基本構造は、効率性や拡張性を向上する一方で、自動化された攻撃が大規模に広がりやすい環境を作り出します。

前述の調査レポートによると、APIに対する攻撃の19％が自動化された悪性ボットによるものであり、アカウント乗っ取り（ATO）攻撃の半数近く（46％）がAPIエンドポイントを標的にしています。
APIセキュリティを巡る現状の課題

OWASPが2023年に発表したAPIセキュリティ課題の上位5つのうち、3つがビジネスロジックの悪用に関連しています。ビジネスロジックとは、ユーザーインタフェースの動作や他システムとの相互作用などを定義するルールやアルゴリズムを指す、アプリケーションの中核部分です。

ビジネスロジック攻撃は、通常のトラフィックを装い、各アプリケーションのロジックに合わせてワークフローを操作するため、Webアプリケーションファイアウォール（WAF）のような従来のセキュリティツールでは検知や阻止が困難です。

また、APIセキュリティを強化するうえで、シャドーAPI（組織内で認識や管理されていないAPI）が課題となっています。シャドーAPIは、組織のガバナンスが及ばないところに存在し、機密データの漏洩やコンプライアンス違反のリスクを増加させます。中には、非推奨のAPIが削除されないままシャドーAPIとなったり、公開されていなかった既存のAPIが不注意によって公開されてシャドーAPIになったりと、社内の管理方法に起因するものもあります。

そのため、セキュリティ対策を見直すための第一歩として、組織内のすべてのAPIを把握および管理することが重要です。