【特別企画】経営者と現場で認識にギャップも、見逃される「API」のリスクとどう向き合うか

1組織あたり平均300件。無意識のまま実装されているAPI

「いや待てよ。ウチはたしかにウェブサイトはあるけれど、APIを使ったサービスなどを外部に公開したりしていないし、やはり関係ないのでは……」と思った人もいるはずだ。

たしかに、「API」をビジネス戦略に取り込む企業が増えつつあるが、まだ過渡期であり、組織によって濃淡もある。

しかし「API」を活用するケースは、積極的に「API」を外部へ提供するビジネスだけに限らない。むしろ、一般企業における組織内の基幹システムをはじめ、「API」の連携により合理化、効率化を推し進めているケースの方が多いかもしれない。

また組織においてウェブサイトやアプリケーションを運用していれば、あえて利用していなくとも、意図せず実装されていることも多い。「コンテンツマネジメントシステム（CMS）」などはそのいい例だ。

サーバでは、ミドルウェア、アプリケーション、マイクロサービスなど多くのソフトウェアが稼働するが、昨今のアプリケーションは、組織内部や外部のアプリケーションとスムーズに連携できるよう、その多くで「API」を用意している。

それでは組織が利用するシステムにおいて「API」はどれくらい実装されているのだろうか。Impervaが行った調査では、1組織あたり、平均300件のAPIが利用されていたという。

また約11万7000件のインシデントを分析したMarsh McLennan Cyber Risk Analytics Centerの調査では、対象企業の約半数において50件から500件の「API」を活用していた。なかには1000件以上を使用しているケースもあった。

規模はさまざまだが、大抵の組織ではウェブサイトをはじめ、システムを構築し、運用している。その時点で多かれ少なかれ、何らかの「API」との関わりが生じている。一方でなかなか全体像を捉えることが難しいやっかいな問題でもある。

「API」の先にあるDBやプログラムが標的

ざっくり「API」を解説してきたが、今一度、思い出してほしい。「API」は、アプリケーションが外部から命令を受け入れる窓口だ。その先に目をやるとプログラムやデータベースが稼働している。

では、もし「API」の先にあるプログラムに脆弱性が存在したり、設定ミスで「API」が意図しない第三者が利用できる状態となっていれば、どのような結果をもたらすだろうか。答えは明白だ。

「API」は、まさに攻撃者が狙ういわゆる「攻撃対象領域（アタックサーフェース）」のひとつといえる。

またリスクは攻撃者が直接しかけてくる攻撃だけとは限らない。外部のアプリケーションと連携している場合、どこまでそのアプリケーションやデータを信頼できるかといった問題も忘れてはならない。

外部サービスが侵害され、悪意あるデータ、信頼性の低いデータなど想定外のデータが送信されれば、誤動作や事故にもつながりかねないからだ。つまり「API」を守ることは、その先にあるプログラムやデータを保護することでもあるのだ。

そのためには、組織内の「API」に対するアクセス制御はもちろん、「どこと、どのようなデータをやりとりしているか」「想定から逸脱した異常な通信が行われていないか」を可視化することこそが重要となる。

ガートナーでは、脅威の高度化を受けてウェブアプリケーションだけでなく「API」も保護する「WAAP（Web Application and API）」を提唱。APIの問題に関してOWASPも「OWASP API Security Top 10」を公表し、対策の重要性を訴えている。

とはいえ、次々とあたらしいプログラムを実装するDevOps、アジャイル開発において複雑に絡み合う「API」の状況をもれなく把握し、コントロールすることは骨の折れる作業だ。それこそ、ドキュメントが用意されていない「裏API」、適切に管理されていない「シャドウAPI」もある。知るほどに対応の難しさを実感することとなる。

（提供：Imperva Japan - 2023/04/03 ）ツイート

【特別企画】経営者と現場で認識にギャップも、見逃される「API」のリスクとどう向き合うか

1組織あたり平均300件。無意識のまま実装されているAPI

「API」の先にあるDBやプログラムが標的

関連リンク

PR

関連記事