API セキュリティソリューションとは

アプリケーション・プログラミング・インターフェース（API）は、組織のデジタル製品、サービス、クラウド環境で中心的役割を担っています。APIは非常に異なるシステムを連携させてデータを共有できるため、イノベーション、ビジネスの生産性、ソフトウェア開発に不可欠です。

APIは現代のITシステムに不可欠ですが、サイバー犯罪者の格好の標的でもあります。たとえば、APIがデータに常時アクセスすると、運用上のリスクになります。そのため、APIセキュリティソリューションはセキュリティスタックの重要な要素となっています。APIセキュリティソリューションは、APIと他のシステム間のやり取りを保護するプロトコル、ツール、プラクティスを確立することで、不正アクセス、データ漏えい、その他の破壊的なサイバー攻撃を防止します。

APIは、非常に多様なソフトウェアアプリケーションやシステムが簡単に通信し、データや機能を共有できるようにするための一連のルールとプロトコルです。APIは基本的に、あるアプリケーションが情報をリクエストして別のアプリケーションと共有するために使用できるメソッドとデータ形式を定義します。

この機能は、ソフトウェア開発者に大きなメリットをもたらします。開発者が新しいアプリやWebアプリケーションを構築する際に、APIを使用することで、新しいデータベースを作成したり、新しい機能をゼロから構築したりするのではなく、既存のソフトウェアのデータを統合して機能を活用できます。その結果、開発者はタイムラインを短縮し、より強力なソフトウェアを作成できます。

APIは広く使用されており、機微な情報に頻繁にアクセスするため、攻撃者にとって主要な攻撃ベクトルとなっています。APIセキュリティとは、さまざまなAPI攻撃から保護するために、プロトコル、ベストプラクティス、テクノロジーを導入することです。

APIはITシステムの機能に不可欠であるため、APIセキュリティはビジネスクリティカルな取り組みです。APIへの攻撃が成功すると、組織に次のような壊滅的な影響が生じる可能性があります。

• 経済的損失：API攻撃により、サイバー犯罪者は金融口座にアクセスして資金を盗むことができます。その他の経済的損失には、弁護士費用、規制上の罰金、攻撃の影響を受けた顧客に対する補償、ビジネス機会の喪失による長期的な影響などが含まれます。
• データ漏えい：APIは機微な情報や個人情報（PII）を処理することが多いため、API攻撃はデータ漏えいを引き起こし、アイデンティティの窃取、金融詐欺、その他の悪性の活動につながる可能性があります。
• 運用の混乱：APIはアプリケーションやシステムのパフォーマンスに不可欠であるため、APIセキュリティ侵害はダウンタイムや生産性の低下につながる可能性があります。さらに、脅威アクターはAPIを使用してサービス妨害（DoS）攻撃を開始し、正当なユーザーがサービスや機能を利用できないようにすることが多いです。
• 評判の低下：API攻撃が成功すると、組織の評判が大きく損なわれる可能性があります。顧客はその会社との取引に慎重になる可能性があり、パートナーはその組織のデータ保護能力を信頼しなくなる可能性があります。このような状況は、ビジネスチャンスの大幅な損失につながる可能性があります。
• 知的財産の損失：攻撃者はAPIを悪用して、企業秘密、事業計画、知的財産などの重要なビジネス情報にアクセスする可能性があります。

APIセキュリティソリューションは、組織が攻撃や悪用からAPIを保護するためのいくつかの大きな課題を克服するために役立ちます。

• APIの複雑さ：最新の API（特に GraphQL や REST を使用する API）は複雑であるため、セキュリティがより困難になっています。
• 進化する脅威：攻撃者が悪用する新たな脆弱性やAPIを悪用する新たな方法を模索する中、APIに対する脅威は絶えず進化しています。
• 期限のプレッシャー：APIセキュリティの懸念は、スピードを追求した DevOps ワークフローにおいて開発者が迅速に動いて期限を守る必要があることと相反することが多いです。
• 急速な普及：API の使用が爆発的に増加しているため、特に新しいバージョンの API がリリースされると、IT チームがセキュリティを常に把握することが困難になります。
• 可視性の欠如：管理の行き届かない急速な成長が「API スプロール」につながるため、IT チームは API を正確に特定してインベントリを作成することが困難になり、エコシステム内のすべての API を保護することが不可能になります。
• 不十分なガバナンスフレームワーク：多くの組織では、セキュリティやガバナンスのための中核的なフレームワークがなく、複数のチームが同時にAPIを開発しています。さらに悪いことに、組織はオープンソースまたはサードパーティのAPIを頻繁に採用するため、安全な統合がさらに困難になっています。

攻撃者は、さまざまな方法でAPIを使用または悪用して、脆弱性を悪用し、データを侵害し、サービスを妨害する可能性があります。

• 無許可アクセス：攻撃者はAPIエンドポイントを操作したり、Credential Stuffingや総当たり攻撃を使用したりして、データに不正アクセスする可能性があります。
• サービスの中断：サービス妨害（DoS）攻撃や分散型サービス妨害（DDoS）攻撃は、大量のリクエストでAPIを過負荷状態にし、正当なユーザーがアプリケーションやサービスを利用できないようにします。また、攻撃者はAPIコールを悪用して帯域幅やコンピューティング能力などのリソースの過剰な消費を引き起こし、運用コストを増加させ、サービスを中断させる可能性があります。
• インジェクション攻撃：SQLインジェクションやクロスサイトスクリプティング（XSS）などの攻撃により、APIが意図しない危険なアクションを実行し、データの損失、データ漏えい、アカウントの乗っ取りを引き起こす可能性があります。
• 不正な機能アクセス：この攻撃は、アクセス制御の弱点を悪用して不正なアクションを実行したり、セキュリティ制御を回避したりします。
• ビジネスロジックの操作：攻撃者は、ビジネスロジックを保護できないAPIを頻繁に悪用し、アカウントを自動的に偽造できるようにします。大量割り当て攻撃は、入力データを適切にフィルタリングせずに内部プロパティに自動的にバインドする API を悪用します。これにより、ハッカーは API リクエストに追加のパラメーターを含めることで、ユーザーの役割を変更できます。
• 誤設定：誤設定されたAPIを悪用することで、攻撃者は機微な情報や機能にアクセスできる可能性があります。また、セキュリティが脆弱な監視されていない API や文書化されていない API を攻撃者が標的にする可能性があります。
• サードパーティAPIの悪用：組織がサードパーティAPIのデータを適切に検証せずに信頼している場合、攻撃者はプライマリサービスのデータや機能を操作して、サプライチェーン内の他のシステムにアクセスできます。

詳細については、OWASP API Security Top 10の脅威リストを参照してください。

組織は、複数の保護レイヤーを提供し、組織が API に関するセキュリティ体制を改善できるようにする API サイバーセキュリティツールを導入できます。

• 認証および認可テクノロジー：承認されたユーザーのみがAPIにアクセスしてデータを操作できるようにするためには、多要素認証、OAuth、OpenID Connect、APIキーなどの認証方法を採用する必要があります。認可テクノロジーには、ロールベースのアクセス制御と属性ベースのアクセス制御が含まれます。
• API ゲートウェイ：API ゲートウェイは、すべての API リクエストのエントリーポイントとして機能し、認証、レート制限、トラフィック管理、キャッシングなどのタスクを実行して DDoS 攻撃をリアルタイムで防止します。
• 暗号化：暗号化ソリューションは、APIを介して送信されるデータが攻撃者に傍受されるのを防ぎます。APIトラフィック、リクエスト、応答、保存中のデータを保護するために、SSL、TLS、AES暗号化などの手法を使用することがあります。
• レート制限：レート制限は、指定された期間内にユーザーまたはデバイスが実行できるリクエストの数を制限することで、DoS攻撃を防止します。これにより、攻撃者がリクエストでAPIを過負荷状態にするのを防ぎます。
• 監査とロギング：監査機能により、API のリクエストと応答を追跡し、ロギング機能により、API のイベントとアクティビティを安全かつ改ざん不能な方法で記録します。監査とログを継続的にレビューすることで、APIアクティビティを可視化し、ITチームがセキュリティ脅威を検知して緩和できるようになります。
• API セキュリティテスト：開発チームとセキュリティチームは、APIの脆弱性と潜在的なAPIリスクを特定するために定期的にテストを行う必要があります。APIテストでは、手動の手法や自動化を使用して、APIのセキュリティが確保され、意図したとおりに機能するようにします。動的アプリケーションセキュリティテスト（DAST）アプローチにより、組織は実際の条件下で API をランタイムでテストすることができます。それに対し、静的アプリケーションセキュリティテスト（SAST）は API のコードをレビューして、開発プロセスの初期段階でセキュリティ問題を検知して対処します。
• API の監視とランタイム保護：APIの使用状況とふるまいを継続的に監視することで、セキュリティチームは通常のベースラインのふるまいを確立し、APIの悪用を示す可能性のある異常なふるまいや疑わしいふるまいを特定できます。
• 脆弱性の管理：攻撃者が API 内の脆弱性を悪用しないようにするために、セキュリティチームは脆弱性スキャン、パッチ適用、修復のための API セキュリティソリューションを展開することがあります。
• API セキュリティプラットフォーム：組織は、複数の API セキュリティソリューションを 1 か所に統合する API 保護プラットフォームを採用することを選択できます。

1.API 探索：

• 設定やタイプに関係なく、すべての API を検索してインベントリを作成する
• 休眠 API、レガシー API、ゾンビ API を検知する
• 忘れられているドメイン、見落とされているドメイン、またはその他の不明なシャドードメインを特定する
• 盲点を解消し、潜在的な攻撃経路を明らかにする

2.API ポスチャ管理：

• インフラを自動的にスキャンして、設定ミスや隠れたリスクを把握する
• カスタムワークフローを作成して、主要関係者に脆弱性を通知する
• 機微な情報にアクセスできる API と内部ユーザーを特定する
• 検知した問題に重大度のランクを付けて、修復の優先順位を設定する

3.API ランタイムセキュリティ：

• データの改ざんや漏えい、ポリシー違反、不審なふるまい、API 攻撃を監視する
• ネットワークの変更や面倒なエージェントのインストールを行うことなく、API トラフィックを分析する
• 既存のワークフロー（チケット発行、SIEM など）と統合して、セキュリティ／運用チームに警告する
• 攻撃や悪用をリアルタイムで阻止し、修復の一部または全部を自動化する

4.API セキュリティテスト：

• さまざまな自動テストを実行して、悪性トラフィックをシミュレーションする
• API を本番環境に展開する前に脆弱性を発見し、攻撃が成功するリスクを緩和する
• 定められたガバナンスポリシーやルールに照らして、API の仕様を確認する
• API に特化したセキュリティテストをオンデマンドで、または CI／CD パイプラインの一環として実行する

IT チームは、API セキュリティツールとともに、脅威や悪用から API を保護するために役立つさまざまな API セキュリティのベストプラクティスを採用することができます。

• API セキュリティ戦略：APIは、クラウドネイティブ環境やマルチクラウド環境など、異なるシステムやプラットフォーム間の相互運用性を実現する上で重要な役割を果たします。このような複雑なエコシステムで API セキュリティを管理するためには、AWS や SaaS プロバイダーを含むさまざまなクラウド環境で API が安全に動作するようにするための堅牢なセキュリティ戦略が必要です。
• 継続的な API 探索：IT チームは、シャドウ API やゾンビ API を含め、デジタルエコシステム内のすべての API を継続的に可視化し、最新の API インベントリを維持する必要があります。また、探索はAPIスプロールの管理に役立ち、古いバージョンのAPIを適切に非推奨にして廃止することでアタックサーフェスを縮小することもできます。
• API ライフサイクル管理：APIセキュリティを確保するためには、設計、開発から展開、非推奨に至るまで、APIライフサイクル全体を効果的に管理する必要があります。すべてのライフサイクルフェーズで API 保護に重点を置く API 管理は、API セキュリティの強化に役立ちます。
• 安全なAPI開発：DevOpsパイプライン、アプリケーションセキュリティ（AppSec）の取り組み、DevSecOpsプラクティスにセキュリティを統合することで、APIセキュリティを開発ライフサイクルの基本的な要素にすることができます。