BLOG | OFFICE OF THE CTO

アプリとAPIのセキュリティの違い?ボットは気にしません。デジタル資産を守るためには。

Published February 20, 2024

はじめに簡単なクイズをしましょう。これらのエンドポイントのうち、どれがAPIに属しているか、どれがアプリに属しているかを考えてみましょう。

https://www.example.com/product

https://www.example.com/product

混乱して、どちらがどちらかを決められない場合でも問題ありません。それがポイントです。アプリとAPIのエンドポイントはほぼ同じように見えます。それは、技術的な観点では、RESTful(ほとんどの場合)であれば、HTTPS経由で同じように呼び出され、通常はGETメソッドを使用するためです。異なるのは、リクエストと共に送信されるペイロードです。APIでは、通常、JSONまたはXML形式のデータが含まれますが、Webアプリのリクエストには何も含まれない場合があります。

それでも、私たちの年次調査からの主要な発見の1つは、組織がセキュリティに関してアプリケーションとは異なるAPIとして扱っていることを意味します。私たちは、41%の組織がアプリケーションと同じかそれ以上の数のAPIを持っているにもかかわらず、それらを保護する同じセキュリティサービスにはより少ない価値を置いているという発見に基づいてこの推論を立てています。

あなたは、組織がどのようにしてアプリよりも多くのAPIを持つことになるのか不思議に思うかもしれませんね?質問してくれてありがとう!内部のサービス間通信(マイクロサービスなど)に使用されるAPIは、確かにそれらがサポートするサービスに密接に結びついていますが、APIが外部インターフェースを提供する場合には必ずしもそうではありません。

APIはどこから来るのか?

2021年の調査では、回答者の61%が「モダンなユーザーインターフェースを可能にするためのAPIレイヤーを追加している」と回答しました。2022年には、その数は45%でした。つまり、モダンなユーザーインターフェースを可能にするAPIは、直接アプリケーションに接続されているアーティファクトではない可能性があります。それらは、モバイルアプリやデジタルサービスなどのモダンなユーザーインターフェースとアプリケーションを促進するファサードであるか、パートナーやサプライチェーンとの通信を可能にするファサードであるかもしれません。これらのユースケースは、APIゲートウェイやロードバランサーのレイヤー7ルーティングによってサポートされており、しばしばAPIエンドポイントからアプリエンドポイントへの変換機能を提供し、それにより古いアメリカ西部の建物のように見せかけるAPIファサードを実現しています。

そしてもちろん、多くのAPIは、公開フェーシングエンティティであり、アプリにアタッチされ、通常はウェブ(通常はHTTPS)を介してアクセスされます。

どのようにそこに到達したかに関係なく、公開フェーシングのAPIはアプリケーションと同様の多くの攻撃を受けます。特にボットが関与する場合はそうです。良いドキュメントを持つAPIは、攻撃者がスクリプトを使用して大規模な攻撃を行うのを容易にします。

例えば、2023年にF5 Distributed Cloud Bot Defenseで保護されたトランザクションの約13%が自動化されていました。つまり、ウェブブラウザやモバイルアプリを使用する代わりに、スクリプトやソフトウェアが使用されました。これらのトランザクションは、APIとアプリの両方を介して発生します。これらの自動化されたトランザクションの一部は、確かに私たちのセキュリティサービスの存在によって、何か悪いことをしようとしていた「悪いボット」を防止したものである可能性があります。「このF5 Labsのレポートでは、彼らが何をしようとしていたのか、より深く掘り下げることができる)

したがって、回答者が自己申告したAPIの数に基づいてボット管理をどのように認識しているかを調査したとき、ボット管理が重要度のスケールでかなり低いことに驚きました。

上のAPIゲートウェイとボット管理チャートの棒グラフから、APIゲートウェイへの重要度が管理されているAPIの数に適切であるように見える一方で、ボット管理には同じことが当てはまらないことがわかります。実際、完全に逆です! APIの数が増えるにつれて、ボット管理の重要性が急速に低下するようです。

それらのAPIの大部分が内部向けである可能性があることは確かです。つまり、外部の悪意のあるアクターに露出されていないマイクロサービス間の東西のAPIです。

しかし、そうとは限りません。過去1年間に読んだ記事の数を考えると、攻撃者がAPIを介してアクセスを得るという話が多いので、外部のAPIの方が多いと思います。

したがって、組織がアプリとAPIの両方を保護するために、ボットを検出してそれらがしようとしている何か悪いことを防止することが必要です。

ボット防御を実際に見てみたいですか? このデモをチェックしてください。

関連情報

用語集
APIセキュリティとは?主な種類と使用例

ブログ
F5の調査が示すAPIとAIによるアプリケーション セキュリティの変革

プロダクト
APIゲートウェイ

用語集
API管理とは何か

用語集
APIファーストとは何か

ソリューション
APIへのサイバー攻撃と情報漏洩を防御しよう。