4 つの柱を使用して API のセキュリティ戦略を策定する

※この投稿は米国時間 2022 年 12 月 13 日に、Google Cloud blog に投稿されたものの抄訳です。

世界中の経験豊富なリーダーの間では、ソフトウェアの統合によって、デジタル トランスフォーメーションがイノベーションのスピードアップと数の増加という良い循環を創り出すことは周知の事実です。これに必要なソフトウェア統合とソフトウェア間の通信をスムーズにするのが API ですが、組織のデータとデジタル システムの保護を強化するには、API セキュリティ対策について真剣に検討する必要があります。

API の普及によって攻撃対象となる領域が拡大し、リスクも高まりました。今日のデジタル環境に目を向けてみると、インターネット トラフィックのほとんどが API によって生み出されていることがわかります。Google Cloud で Apigee を使用するお客様のみを対象としたレポートでは、2019 年から 2020 年にかけて API トラフィックが 46% 増加しています。

同時に、Google Cloud の 2022 年 API セキュリティ調査レポート: 最新のインサイトと主要なトレンドからは、2021 年には、過半数の組織が少なくとも 1 度は API 関連のセキュリティ上の脅威を経験しており、API が脅威アクターの格好のターゲットとなっていることがわかります。

今月公開した新しいレポート「The Importance of API Security（API セキュリティの重要性）」では、API 攻撃を 5 つのカテゴリに分類し、API セキュリティ システムの構築方法の改善について詳しくご紹介しています。レポートでご紹介した主な脅威は以下のとおりです。

1. データ スクレイピング

2. サービス拒否攻撃（DoS）

3. インジェクション攻撃またはマルウェア攻撃

4. アカウントの乗っ取り（ATO）

5. スキャルピング攻撃とボット攻撃

サービス拒否攻撃、インジェクション攻撃、アカウントの乗っ取りは、もともとウェブ アプリケーションで行われていた攻撃が API でも行われるようになったもので、よく知られています。一方、API の不正使用やボット攻撃は API ならではの脅威であり、その性質から一般のセキュリティ問題とは別に考える必要があります。セキュリティ リーダーは、API セキュリティの脅威に対する組織の対策についても気を配ることが重要となっています。

API セキュリティ戦略の現状

API セキュリティに関するインサイトとトレンドに関する 2022 年のレポートでは、ほとんどの組織にしっかりした API セキュリティ戦略がなく、その 60% は API 戦略の改善が必要だと回答していました。

組織が API セキュリティ対策を策定、改善していくためには、リソースの欠如と経験不足という 2 つの大きな課題があります。リーダーが API セキュリティの強化に真剣に取り組んでいる組織でも、断片的なソリューションの使用にとどまることがあります。その場合、社員が誤って安全だと思いこむことになりかねません。

では、どのように API の保護に取り組めばよいのでしょうか。

多層防御アプローチを選択する

攻撃を防ぐためには、お互いの機能をサポートしつつそれぞれ独立で機能するよう、複数の API 防御メカニズムを何層にもわたって重ねる仕組みが効果的です。変化の激しい API 脅威を取り巻く環境に関する追加のインサイトを「The Importance of API Security（API セキュリティの重要性）」レポートでご覧いただけますが、さらに以下でご紹介する 4 つの柱に沿って API ファーストのセキュリティ戦略を実施することをおすすめします。

1. 一般的な API 管理プラットフォームで、すべての API に対して基本的な API セキュリティ管理および保護を実施し、「例外なし」のアプローチで、API が不意に一般公開されることがないようにする

2. WAF、機会学習ベースの DDoS 対策、脅威インテリジェンス機能などを備えた適応型クラウド保護スイートで、DDoS や脆弱性利用型不正プログラムから API を保護する

3. アンチボット対策で、不正行為や不正使用から API と公開リソースを安全に守る

4. API を開発する際に安全なコーディング原則を遵守することで、特に一般的なセキュリティ問題を事前に防ぐ

レポートはこちらからご覧いただけます。また、ご不明点などございましたら Google サイバーセキュリティ対応チームまでお問い合わせください。