遅れが目立つ包括的APIセキュリティの導入状況
SANS Instituteが実施した最近の調査によると、ほとんどの企業はいまだに、広範囲に対応できるAPI専用の制御機能を使用していません。
APIセキュリティ・テスト・ツールの欠落が顕著
「2023 SANS Survey on API Security」(2023年SANS APIセキュリティ調査)では、APIセキュリティ・テスト・ツールを導入している回答者の割合は50%未満であり、APIディスカバリーツールを使用している回答者の割合はさらに少ない状況です(29%)。しかも、このレポートによると、分散型サービス妨害(DDoS)対策サービスや負荷分散サービスに含まれるAPIセキュリティコントロールは「十分に活用されていない領域」であり、これらの機能を使用している回答者の割合はわずか29%でした。
攻撃の増加を考えると、これは非常に深刻な傾向といえます。Akamaiが最近の「インターネットの現状」レポート、「セキュリティギャップのすり抜け:組織を狙うアプリケーションおよびAPI攻撃の増加」で報告したとおり、2022年は、アプリケーションおよびAPI攻撃の数が過去最多となりました。しかし、SANS調査の回答者が組織にとって最大のセキュリティリスクをどう捉えているかを見れば、包括的に対応できるAPIツールの採用が少ないのもうなずけます。
このレポートは、2023年7月に発表され、231人の回答者のほとんどが米国組織に所属しています。現在アプリケーションセキュリティを担当している回答者の割合は78%、今後関わる見込みである回答者は15%でした。
APIリスクはランク外
各組織にとって最も大きいリスク3つの順位を求める設問に対して回答者が最も多く挙げたのは、「再利用可能な認証情報の取得を目的としたフィッシング」でした。これに「パッチの欠落を悪用する攻撃者」と「脆弱なアプリケーション/APIを悪用する攻撃者」が続いています。そして最下位は「誤設定されたサーバー/サービス」でした。企業はAPIがもたらすリスクを理解してはいるものの、優先的な投資対象とは見ていないことがわかります。
複数のセキュリティコントロールとプロセス
SANS Instituteでセキュリティの最新傾向を担当しているディレクター、John Pescatore氏はこのレポートに次のように記しています。「APIリスクのディスカバリー、評価、緩和は複雑な問題であり、複数のセキュリティ制御とプロセスを使用して包括的に対応する必要があります。すでに普及しているアプリケーションレベルのツールでは部分的にしか対応できません。包括的に対応できるAPIセキュリティ専用の制御機能はまだ普及していません。」
APIの稼働状態(および数)の把握
SANSのレポートは、企業が自社環境で稼働しているAPIの数さえ十分に把握していないことを示唆しています。3分の2を超える回答者が、本番環境で稼働しているAPIのインベントリの精度は75%未満であると推定しています。
企業は、ネットワーク、コンピューター、アプリケーションなどの資産の正確なインベントリを取得することに何年も苦労してきました。APIが稼働している場所(および数)を把握することに、もっと注力する必要があります。レポートには、「...脆弱なAPIは攻撃の最も一般的なアクセスポイントになっているので、APIインベントリの精度を高め、もっと頻繁にディスカバリーを実行する必要がある」と記されています。
APIセキュリティについて購入者は複数の方向性を模索
このようなAPIセキュリティのギャップを解消する目的で新たなツールを入手することについて、コンセンサスはほとんど得られていません。 現在は使用していないが今後2年以内に導入を計画しているソリューションを尋ねたところ、回答者が選んだ選択肢は以下のようにさまざまでした。
- セキュアWebゲートウェイ(SWG)
- 動的アプリケーション脆弱性テスト(13%)
- Webアプリケーションファイアウォール(13%)
- コンテンツ・デリバリー・ネットワーク内のアプリ/APIセキュリティ機能(13%)
- APIセキュリティテスト(12%)
- APIディスカバリー(10%)
購入者がアプリケーションとAPIのセキュリティに求めるソリューションが多岐にわたっている今、Akamaiのように包括的なソリューションを提供できるベンダーはこれまで以上に魅力的な存在といえます。複数の分野をカバーする強力なサービス組織を有するプロバイダーから、ボット管理、Webアプリケーションファイアウォール、その他の要件にアクセスできることは、企業にとって大きなメリットとなります。
高度な検知と対応のテクノロジー
また、高度な検知と対応(XDR)を通じてすべてのAPIアクティビティを可視化し、リスクポスチャを判断し、通常のふるまいと悪性のふるまいを把握して、脅威を阻止する新たなテクノロジーが出現したことで、API保護のメリットはさらに大きくなっています。
Akamaiが最近Neosecを買収したことにより、この傾向はますます促進されると考えられます。30日間(以上)のAPIアクティビティの分析とAkamaiのコンテンツ・デリバリー・ネットワークが提供する可視性を組み合わせることで、企業はこれまでにないレベルのAPIふるまい分析を実現できます。
SANSの調査結果には、新たにリリースされたOWASP Top 10 APIセキュリティリスクを考える際に背景情報となる興味深い事実も示されています。新OWASPトップ10 APIセキュリティリスクには、制限のないリソース消費やAPIの安全でない使用など、新しいリスクがいくつかリストに追加されました。
フレームワークに関する合意
OWASPについて:この調査では、セキュリティ担当者がみな価値を認めるフレームワークがいくつかあることが示唆されています。半数を超える回答者が、アプリケーション/APIリスクの判断に使用する手段として、OWASP Top 10 Webアプリケーション・セキュリティ・リスク(55%)、MITRE ATT&CKフレームワーク(55%)、OWASP Top 10 APIセキュリティリスク(52%)を挙げています。また、Cloud Security Alliance(40%)とCenter for Internet Security Critical Security Controls(33%)も上位5位までに入っています。
引き続き開発者へのセキュリティトレーニングを重視
さらに、このレポートから、全般的に企業は引き続き開発者へのセキュリティトレーニングの提供に力を入れていることがわかりました。75%を超える組織が、開発スタッフにセキュリティトレーニングを提供していると答えています。また、セキュリティチームの25%以上にアプリケーションセキュリティのトレーニングを提供していると答えた回答者の割合も70%を超えています。
可視性と防御
Akamai App & API Protectorは、Webアプリケーションとファイアウォールの保護、ボット管理、APIセキュリティ、DDoS防御に役立つ包括的なアプリおよびAPIソリューションを提供します。これを利用することで、企業はそれぞれの環境における脅威に対する可視性と、強力な防御力を獲得できます。どんなに複雑な分散アーキテクチャであっても、脆弱性をすばやく特定し、WebとAPIの資産全体の脅威を緩和できるようになります。
