コンテンツ配信、セキュリティ、クラウドサービスを提供するAkamaiは、米国のサイバーセキュリティ研修会社SANS Instituteと提携し、火曜日にAPIに関連する最も懸念されるセキュリティリスクを調査した新たな調査結果を発表しました。2023年のSANS APIセキュリティ調査では、最大のリスクはフィッシング攻撃であることが判明しました。
さらに、231人のアプリケーションセキュリティ専門家を対象とした2023年のグローバル調査では、APIセキュリティテストツールを導入している回答者は50%未満、API検出ツールを導入している回答者はわずか29%であることが明らかになりました。また、DDoS攻撃やロードバランシングサービスに既に含まれているAPIセキュリティ制御を使用している回答者もわずか29%にとどまっていることがわかりました。
ジャンプ先:
- APIセキュリティリスクトップ6
- APIの急増によりセキュリティ上の課題はより複雑化
- ゼロデイリスクは過信されがちだが、設定ミスは不十分
- アプリケーション層の設定ミスを防ぐ
- 適切なAPI衛生管理:インベントリ、パッチ、脅威評価
APIセキュリティリスクトップ6
最大の API セキュリティリスクは何だと思うかと尋ねたところ、最も多かった回答者は次のとおりでした。
- 再利用可能な認証情報を取得するためのフィッシング(38.3%)
- 不足しているパッチを悪用する攻撃者(24%)
- 脆弱なアプリケーション/APIを悪用する攻撃者(12%)
- システム管理者によるサーバー/サービスの誤った構成(12%)
- ユーザーによる機密情報/隠蔽情報の偶発的な開示(9.1%)
- サービス拒否(2.3%)(図A)。
図A
APIの急増によりセキュリティ上の課題はより複雑化
Akamaiは今年初め、2022年にアプリケーションおよびアプリケーション・プログラミング・インターフェース(API)攻撃が過去最高を記録したと報告しました。問題の一因は、組織で使用されているAPIの膨大な数にあり、「知らないことは知らない」というリスク区分によく当てはまります。
SANSの新興セキュリティトレンド担当ディレクターであり、2023年の調査報告書の著者でもあるジョン・ペスカトーレ氏は、APIの急増は複雑さがセキュリティの敵であることを象徴していると指摘しました。また、分散アプリケーションの性質そのものが、攻撃者にとっての脅威となる領域を拡大し、脆弱性が本番環境のコードに潜む可能性を高めていることも説明しました。
Akamaiは今回の調査で、平均的な企業では15,000以上のAPIが使用されているという451 Researchのレポートを引用しています。攻撃の規模を示すため、Akamaiは今年初め、2022年10月8日の1日だけで、世界中で1億6,100万件のAPI攻撃が発生したと報告しています。
参照:経営幹部は API セキュリティを最重要課題とみなす(TechRepublic)
レポートによると、調査の回答者は、今後、以下の方法で API セキュリティのギャップを埋める予定であると述べています。
- Webセキュリティゲートウェイ(14%)
- コンテンツ配信ネットワーク/負荷分散における API セキュリティ機能 (13%)。
- Web アプリケーション ファイアウォール (13%)。
- 動的アプリケーションセキュリティテスト(13%)(図B)。
図B
ゼロデイリスクは過信されがちだが、設定ミスは不十分
Akamai のアプリケーション セキュリティ担当ゼネラル マネージャー、Rupesh Chokshi 氏によると、Akamai の調査では、回答者がアプリケーションの設定ミスによるリスクを軽視し、ゼロデイ リスクを過度に重視していることが示唆されているとのことです。
「組織のAPIセキュリティ計画には、安全なAPIの構築とアプリケーションの適切な構成が含まれるべきです。同時に、APIがどのように脆弱になり、悪用されるリスクにさらされるかといったゼロデイリスクについても理解しておく必要があります。この区別が重要なのは、堅牢なAPIセキュリティを実現するには、APIライフサイクルのあらゆる側面に重点を置く必要があることを示しているからです。そうでなければ、脆弱性を見逃してしまうでしょう」とチョクシ氏は述べています。
アプリケーション層の設定ミスを防ぐ
Palo Alto Networks Prisma Cloud の最高技術責任者である Ory Segal 氏は、現代のクラウドネイティブ アプリケーションにおける構成ミスが、組織によって軽視されがちな大きなリスクをもたらすことに同意しました。
残念ながら、多くの人がオープンソースソフトウェアパッケージのゼロデイリスクや既知の脆弱性(つまり、共通脆弱性とエクスポージャー)に注目しがちです。しかし、統計データと現実を見ると、攻撃者はアプリケーション層の設定ミスを悪用する可能性が高く、組織を重大なリスクと潜在的なデータ侵害にさらしていることがわかります。公開されているクラウドストレージバケットに関連する最近の侵害件数を見れば明らかです。
シーガル氏の推奨事項には次のようなものがある。
- 構成管理を迅速化するために、コードスキャンとしてのインフラストラクチャは構成の一貫性を提供し、人的エラーを削減します。
- APIの可観測性を向上させることは不可欠です。これは、堅牢なログ記録と監視を実装することで実現できます。
- API 呼び出し、応答時間、エラー メッセージなどの詳細なログは、API のパフォーマンスとセキュリティに関する貴重な洞察を提供します。
- 自動異常検出は、潜在的な攻撃を示唆する異常なアクティビティを識別するのに役立ちます。
- より包括的な API セキュリティを実現するには、最小権限の原則を採用し、各ユーザーにタスクの実行に必要な最小限のアクセス レベルのみを許可することをお勧めします。
- インジェクションベースの攻撃などの一般的なセキュリティ問題に対する定期的な監査と自動テストは、API の継続的なセキュリティを確保するのに役立ちます。
適切なAPI衛生管理:インベントリ、パッチ、脅威評価
Pescatore 氏は、組織の API セキュリティ プランには次の内容が含まれるべきだと述べています。
- 使用中の API とそれらの API を使用するプロセスのインベントリ。
- 使用中の API の脆弱性評価。
- これらの脆弱性を悪用するアクティブな攻撃の脅威評価。
- 重大な API 脆弱性に対するリスクベースの軽減。
調査回答者の62%は、APIリスク軽減の一環としてWebアプリケーションファイアウォールを使用していると回答し、79%は開発スタッフにアプリケーションセキュリティに関するトレーニングを実施していると回答しました。また、回答者の57%は、APIインベントリの精度が25%から75%であると回答しました。
参照:Gigamonレポートがディープ・オブザーバビリティに光を当てる(TechRepublic)
「強力な認証、資産インベントリ、脆弱性管理、変更管理といったセキュリティ衛生管理は、APIセキュリティの問題に対処する必要があります」とペスカトーレ氏は記している。「API中心の攻撃に対処するには、防御と検知を強化する必要があり、インフラサービス(コンテンツ配信ネットワークやサービス拒否フィルタリングなど)も活用する必要があります。」
