The Hacker Newsは10月2日(現地時間)、「APIs: Unveiling the Silent Killer of Cyber Security Risk Across Industries」において、API(Application Programming Interface)がサイバーセキュリティにもたらす重大な課題、その理由、それら課題を解決するための対策について伝えた。
近年のクラウドコンピューティング、モバイルアプリケーション、モノのインターネット(IoT: Internet of Things)の普及により、APIの導入は加速している。APIによりサードパーティサービスの統合、機能の強化、革新的なソリューションを迅速に開発することが可能となり、今日のデジタルライフにおいて必要不可欠な技術とされている。
APIはその普及と共にサイバー攻撃の標的となっており、さまざまな業界においてセキュリティリスクとなっている。The Hacker Newsによると、2023年のレポートでAPIを標的とするサイバー攻撃は137%増加し、医療、製造業が多く狙われているという。また、最新のState of API Security 2023のレポートでは、APIセキュリティの懸念事項の上位リストとして、以下が挙げられている。
- ゾンビAPIとして知られる古い非推奨のAPIの存在
- 分散型サービス拒否攻撃(DDoS: Distributed Denial of Service attack)の影響
- 中間者攻撃などによるアカウントの乗っ取り
- 機密データの偶発的な漏えい
- 意図的に盗まれたデータが意図せずに流出する
- 文書化されていないシャドウAPIの存在
The Hacker Newsは業界ごとのAPIセキュリティの現状および抱えているリスク、発生した被害について解説している。また、APIのリスク軽減策とベストプラクティスとして、次のような対策を推奨している。
- サイバー攻撃となりうる資産を把握・管理する取り組み(ASM: Attack Surface Management)によるAPIの発見とインベントリの作成により、内部および外部向けの攻撃対象領域を管理する
- 自動化技術と手動技術の両方を使用したハイブリッドペネトレーションテストにより脆弱性を特定する
- 自動化されたセキュリティ検証を継続的に実施する
APIはサービスの効率性や革新性をもたらす代わりに新しい複雑なサイバーセキュリティの課題をもたらしている。不正アクセス、サービスの中断、システムの侵害などのリスクが指摘されており、管理が不適切であると重大な結果につながる可能性がある。APIを管理する組織においては最新のベストプラクティスを実践し、被害の回避または軽減に務めることが推奨される。
メルカリで相次ぐ不正行為、どう対処しているのか? 不正対策部門の責任者に直撃
