近年、APIセキュリティはサイバーセキュリティにおける主な焦点となっています。世界的な調査会社であるガートナー は、APIセキュリティの重要性を認識し、WebアプリケーションおよびAPIセキュリティ(WAAP)と名付けた新しいWebアプリケーションセキュリティモデルを提案しました。APIは、Application Programming Interfaceの略で、一連の定義とプロトコルを使用して2つのソフトウェアコンポーネントが相互に通信できるようにする仕組みです。APIは、一般にデータとサービスへのアクセスを提供するために使用され、開発者は既存のデータと機能を活用して新しいアプリケーションやツールを構築できます。
例えば、新しいフードデリバリーアプリで地元のレストランを表示するために地図が必要な場合、開発者が新しい地図を作成し、レストランのデータをすべて自分で収集するのは非効率的です。代わりに、Googleマップなどの既存のマップAPIを使用して、アプリに必要なデータを取得できます。
APIは、次のような理由から、現代のソフトウェア開発に欠かせないものになりつつあります。
・相互運用性
APIは、ソフトウェアシステム間の相互運用性を促進し、APIを使用することで異なる開発者によって開発されたアプリケーションやサービスが連携し、データを共有し、統合されたソリューションを提供できるようになります。
・モジュール開発
APIを使用すると、複雑なシステムをより小さく管理しやすいコンポーネントに分割できるため、ソフトウェアの開発、テスト、メンテナンスが容易になります。開発者は特定の機能の構築と更新に集中できます。
・クロスプラットフォーム統合
APIによってクロスプラットフォームの統合が可能になり、アプリケーションが異なるさまざまなデバイスや環境で動作できるようになります。
・データアクセスと共有
APIは、アプリケーション間でデータを交換するための構造化された方法を定義します。通常、形式は JavaScript Object Notation (JSON) または Extensible Markup Language (XML) です。この標準化により、要求するアプリケーションと提供するシステムの両方がデータを簡単に解釈して処理できるようになります。
こうしたメリットがあるにもかかわらず、すべてのAPIがセキュリティ対策を講じて構築されているわけではなく、APIを狙った攻撃によりサービスに重大な被害が発生したと報告する組織も増えています。Duolingoもそのひとつで、非常に人気のある言語学習アプリケーションを提供する企業です。2022年第1四半期末までに、Duolingoの月間アクティブ ユーザー数は4,920万人に達したと推定されています。当然ながら、ユーザーデータの量が膨大であるため、Duolingoのユーザーデータベースはハッカーの標的となりました。2023年1月、Duolingoスクレイピングされたユーザーデータ260 万人分が、「Breached」と呼ばれるダークウェブのハッキングフォーラムに掲載されてしまいました。スクレイピングされたデータには、メールアドレス、氏名、ユーザー名、その他のユーザープロフィール情報が含まれていました。
ハッカーは DuolingoのAPIの脆弱性を悪用して、ユーザーデータを入手したと考えられています。DuolingoのAPIは、他の形式の検証を求めることなく、メールアドレスまたはユーザー名のみに基づいてユーザー情報へのアクセスを提供していました。APIには、リクエストが正当なユーザーからのものであることを確認するためのセキュリティ対策を講じていなかったため、ユーザーデータへのアクセスは制限されていませんでした。このインシデントは、OWASP Top 10 APIセキュリティリスクの2つの脆弱性に分類されます。
API2:2023 – 認証の不備
API3:2023 – 壊れたオブジェクトのプロパティレベルの認証 (BOLA)
APIがハッカーの標的となっているため、APIを含むサービスを提供する組織や企業にとって、APIセキュリティを確立することが重要な課題となっています。市場には、すでに API セキュリティのソリューションが数多く存在していますが、重要な質問は、「どのソリューションが自社の環境に最も適しているか」ということです。
さまざまな目的のAPIが無数に存在するため、APIセキュリティのソリューションもさまざまな方向性とアプローチを取ることができます。例えば、インジェクション攻撃や認証エラーなど、APIの特定の脆弱性に焦点を当てたソリューションもあれば、API検出に重点を置くもの、APIゲートウェイに重点を置くものもあります。どのタイプのソリューションが最適であるかについては、明確な答えはありません。したがって、組織や企業はソリューションを採用する前に、環境とニーズを慎重に評価することが重要です。
ペンタセキュリティのAPIセキュリティは、実際のAPI攻撃や脆弱性に焦点を当てたソリューションを構築しています。ペンタセキュリティは、2024年にAWS WAF専用のマネージドルールである「Cloudbric Managed Rules for AWS WAF – API Protection」をリリースしました。このサービスをサブスクライブするだけで、セキュリティベンダーが事前に定義したセキュリティルールを迅速に適用することができます。このAPI Protectionは、AWS WAFユーザーがAPI攻撃を迅速かつ容易に検出してブロックできるソリューションで、OWASP API Security Top 10 Riskの脅威に対するセキュリティを提供します。APIの攻撃と脆弱性に対応するため、API Protectionはペンタセキュリティ独自のサイバー脅威インテリジェンス(CTI)で収集・分析されたAPI攻撃データを活用し、既知のAPI攻撃に対するセキュリティを確立します。また、API ProtectionはXML、JSON、YAMLデータの検証と保護も提供します。API Protectionは、世界的な製品検証機関であるThe Tolly Groupが実施した比較テストによって、AWS Marketplaceで提供されている APIセキュリティルールグループの中で、最も高い検知率を持つことが検証されました。
コスト効率の高い従量課金制で、ユーザーは製品をサブスクライブするだけで、セキュリティの専門知識を必要とせずに強力なAPIセキュリティを実装できます。
▼APIを効果的に保護するCloudbric Managed Rules for AWS WAF – API Protection
