【特別企画】経営者と現場で認識にギャップも、見逃される「API」のリスクとどう向き合うか

「これからはAPIのリスク管理が不可欠だ」と聞いて「まさにそのとおり」と感じる人はどれだけいるだろうか。「API」と聞いて「よくわからない」「なんとなく危険だと思うが、自分とは関係がない」と感じた人も少なくないかもしれない。

しかし、ページを閉じるのは少し待ってほしい。「API」は、インターネットを活用している組織であれば、もはや無視できない存在であり、脅威の入り口ともなりうる。実際に「API」が原因となったインシデントもたびたび発生している。

2022年にオーストラリアで発生したインシデントでは、「API」より侵入を受けて大量の個人情報が流出した。2024年には「API」に起因する情報漏洩が2倍になるとの予想もある。

一方で、置かれた立場や知識によって、「APIセキュリティ」への問題意識に大きなギャップも生じている。もともと開発に関する専門用語でもあり、いきなり「APIと言われてもついていけない」という人がいても不思議ではない。

本記事では、「APIのセキュリティ対策」に取り組むImperva Japanの協力のもと、「API」におけるセキュリティ上のリスクや課題をわかりやすくまとめた。「API」が直面するセキュリティの問題に目を向け、自組織にどの程度のリスクがあるのかを考えるきっかけとしてもらえればありがたい。

そもそも「API」とは何か。経営層も注意すべき問題なのか

昨今、ウェブサイトのセキュリティ対策をしっかりやらねば、情報漏洩や改ざんなど大きな事故につながりかねないことは広く理解されるようになった。今回のテーマである「API」もウェブサイトと同様か、それ以上に保護する必要があるが、そこまで意識されているとは言い難い。

そもそも「API（Application Programming Interface）」とは何か。わかりやすくひと言で言うならば、アプリケーションが、別のプログラムや外部のシステムと連携するために用意した「窓口」のようなものと考えればいい。たとえば、「これこれのデータがほしい」と「API」へメッセージを投げかければ、「はい、どうぞ」とデータを送り返してくれる、そのようなイメージだ。

ウェブサイトは、人の操作に対し、応答結果がブラウザ上に表示されるが、「API」ではアプリケーション同士が直接コミュニケーションを取っている。プログラミング開発に携わる人であれば、とても身近な存在であろう。

具体的な例として「家計簿アプリ」を挙げてみよう。最近の家計簿アプリは、分散している金融機関の口座情報を自動で取得し、家庭のお財布事情を可視化してくれる便利な存在だ。

その家計簿アプリの便利さを実現しているのが、まさに「API」である。金融機関が用意した「API」を通じて、家計簿アプリは残高や取引履歴などを取得している。「API」の存在によって、銀行は契約者へのサービス向上が図れるし、家計簿アプリの事業者はあらたなビジネスが展開できる、というわけだ。

こうしたアプリケーションの連携は金融分野にとどまらない。「Microsoft 365」「Google Workspace」をはじめ、最近API有料化で注目された「Twitter」、やAIによる言語処理が話題の「ChatGPT」など、インターネットサービスの多くが「API」を用意している。

インターネットサービスだけではない。先にあげた金融機関をはじめ、小売業、旅行業など、さまざまな事業者が「API」を提供し、外部との連携によってビジネスを拡大する「APIエコノミー」を加速させている。「API」は、まさにデジタルトランスフォーメーション（DX）の時代を生き抜くための「強力な武器」のひとつだ。

Impervaの調査では、2022年にAPIから流入するウェブトラフィックは前年同期に比べて30％増加したという。いかにAPIの活用が加速しているかがわかる。一方で経営的にも大きなリスクとなりかねない「API」のセキュリティが見過ごされている。

（提供：Imperva Japan - 2023/04/03 ）ツイート

【特別企画】経営者と現場で認識にギャップも、見逃される「API」のリスクとどう向き合うか

そもそも「API」とは何か。経営層も注意すべき問題なのか

関連リンク

PR

関連記事