連邦政府の監視下にある API セキュリティ：CIO への警鐘

1 つのインシデントでは、グローバルドメインおよびホスティングプロバイダーが、攻撃者がプロバイダーの API アーキテクチャの弱点を利用して顧客アカウント情報を抽出した侵害に見舞われました。この調査では、認証制御が機能しなくなり、API 固有の監視が行われないことが明らかになりました。

同様に、大手通信会社は、API エンドポイントの保護が不十分なために、機微なユーザー情報を漏洩させてしまいました。このイシューは、不十分な入力検証と不適切なアクセス制限（連邦規制機関の注意を引く監視）に起因しています。

どちらのケースでも、これらの企業は従来の防御に投資していましたが、最新のデジタルサービスの重要な構成要素として機能する API にも同じ厳格さを適用することはできませんでした。

ほぼすべてのコンプライアンスフレームワークの基本要件とは、所有している資産と、それらが取り扱うデータのタイプを明確に理解していることです。API は、多くの場合、異なるチームやサードパーティによって常に開発および更新されているため、ほとんどの組織では完全でリアルタイムの API インベントリが不足しています。 

企業は、自社の環境内のナレッジ API と、それぞれの API の用途を実証できることが求められます。さらに重要なことに、可視性またはプロセス全体の外部で動作しているナレッジ API を特定することも求められています。

API が識別されても、API を通過するデータフローや、API のセキュリティが適切に確保されているかどうかが常に明確になるわけではありません。多くの組織では、API の所有権を決定できず、また、トラフィックが Web Application Firewall（WAF）や API ゲートウェイなどの承認された制御を通過しているかどうかを確認することもできません。 

Akamai の API セキュリティの影響に関する調査 2024 年版によると、API の完全なインベントリを保有する IT セキュリティ専門家のうち、機微な情報を返す API を実際に理解しているのは、わずか 27% に過ぎません。これは 2023 年の 40% からさらに減少しています。 

さらに、役割の間にはしばしば認識の相違が生じます：調査に回答した CIO のうち、機微な情報を返す API がどれかを知っていると考えている人の割合は 43% でしたが、そのように考えている CISO の割合はわずか 17% でした。クレジットカード情報、個人を特定できるデータ、ヘルスケア関連の記録などの機微な情報が公開されている場合、これらの可視性のギャップにより、重大なコンプライアンス違反が発生するおそれがあります。

コンプライアンスとは、アセットを把握することだけではありません。誤使用が検知され、リアルタイムで対処されるようにすることが重要です。セキュリティチームには、誰かが API を利用して顧客データを抽出しているか、または特権を昇格しているかどうかを判断する力が求められています。

たとえば、企業の多くは、ビジネスロジックの微妙な不正利用の検知や、OWASP Top 10 API セキュリティリスクの壊れたオブジェクトレベル認可などの脅威の防止ができません。このような攻撃パターンが利用される頻度は高まっており、多くの場合、従来の境界ツールを回避しています。

多くの組織は、機能テストだけに依存しており、セキュリティテストの重要性を見過ごしています。コンプライアンスフレームワークでは、セキュリティが最初から組み込まれることがますます求められており、導入前に API の脆弱性をテストすることが重要になっています。

このようなセキュリティ上のギャップが生じる可能性があるため、規制当局は API セキュリティの欠陥をデータ保護法に直接違反したものとして扱い始めています。その結果、しばしば、強制措置、罰則、または修復作業の強制といった対応を要求するようになっています。当社が調査した米国の IT およびセキュリティリーダー（CIO、CISO、および CTO）は、過去 12 か月間に体験した API セキュリティインシデントの平均推定コストは、943,162  ドルであると報告しています。

現在、企業はセキュリティだけでなく、API エコシステム全体でコンプライアンスへの対応を実証することが求められています。次に、API セキュリティがいくつかの一般的な規制にどのように対応するかを説明します。

• PCI DSS v4.0：すべての支払い関連 API を特定して文書化し、強力な認証でセキュリティを確保し、継続的に監視し、カード所有者データへのアクセスを制限する必要があります

• GDPR：データの最小化、アクセス制御、およびデータ漏えい通知を必須とします。これらはすべて、個人データを処理する API のセキュリティ保護に依存します

• HIPAA：API を介してアクセスされる保護された正常性情報は、暗号化、役割ベースのアクセス、および監査ログを使用してセキュリティを確保する必要があることを指示します

• DORA：すべてのデジタルチャネル（API を含む）で回復力テストとインシデント検知が必要です。異常や障害のシナリオを監視する必要があります

保護されていない API や文書化されていない API は、カード所有者のデータや健康に関する記録を露出させているか、あるいは規制対象領域の異常を検知していないかにかかわらず、コンプライアンス違反として判断される可能性があります。

デジタルインフラとリスクイニシアチブをリードする CIO は、API セキュリティに対する計画的かつ構造化されたアプローチを取る必要があります。第 1 優先事項：API 環境の完全な可視性を確立する必要があります。クラウド、オンプレミス、ハイブリッド環境全体でリアルタイムのインベントリがなければ、API の使用のセキュリティを効果的に確保または監査することはほぼ不可能です。

次に、セキュリティを設計に組み込む必要があります。これには、強力な認証の実装、すべての入力の検証、組織内のすべての API に対する最小権限アクセスの適用が含まれます。観測性も同様に重要です。API トラフィックをリアルタイムで監視することで、チームは異常を早期に検知し、リスクがエスカレートする前に対応することができます。これは多くの規制フレームワークにとって重要な要件です。

セキュリティ対策もコンプライアンス要件に直接マッピングする必要があります。API 制御と PCI DSS、GDPR、HIPAA、Dora などのフレームワークの間の明確な整合性を維持することで、組織は進捗状況を実証し、証拠を文書化し、自信を持って監査に備えることができます。

最後に、回復力は継続的にテストする必要があります。API は、後からの思い付きではなく、より広範なセキュリティテスト戦略と運用上の回復力計画の一部として取り扱うべきものです。特に DORA の規制下にある欧州連合の企業には、攻撃をシミュレーションし、障害シナリオを評価し、継続性を確実にする能力がベースラインとして期待されています。

Akamai API Security は、API 保護に対する完全なライフサイクルアプローチを提供することで、組織のコンプライアンスのシンプル化とリスクの軽減を支援します。次のような主要なコンプライアンス要件をサポートします：

• 包括的な探索とインベントリ：シャドウ API やゾンビ API など、すべての API を継続的に探索して分類し、PCI DSS や GDPR などのフレームワークの可視性を維持し、ドキュメント要件を満たします

• リスクとポスチャの評価：調査結果を主要なコンプライアンスフレームワーク（PCI DSS、ISO 27001、GDPR、HIPAA など）にマッピングして、コンプライアンス違反につながる可能性のある構成の誤りや脆弱性を特定します

• ふるまいの脅威検知：ふるまいの異常、ビジネスロジックの悪用、従来のツールでは見逃されがちな不適切なデータの露出を検知し、DORA の運用回復力の目標をサポートします

• コンプライアンスダッシュボードによる集約型可視性：コンプライアンス対応 API と非準拠 API を比較する集約型のビューを提供し、時間の経過に伴うポスチャの傾向を追跡し、監査準備をシンプル化します

• セキュリティエコシステムとのシームレスな統合：セキュリティ情報およびイベント管理（SIEM）システム、チケットシステム、ワークフローツールと統合して、コンプライアンスの証拠を生成し、インシデント対応を合理化します

API 関連のインシデントは、分離された技術的な問題とはみなされなくなりました。これらはコンプライアンス違反であり、規制上の措置が生じます。連邦政府の精査が高まるに伴い、技術 CIO は API セキュリティを実装するだけでなく、運用可能で監査可能なものにする必要があります。API をセキュリティおよびコンプライアンスプログラムで不可欠な要素として扱うことで、リスクを軽減するだけでなく、今後出現する規制や脅威に対する長期的な回復力の確保にも貢献できます。