はじめに簡単なクイズをしましょう。これらのエンドポイントのうち、どれがAPIに属しているか、どれがアプリに属しているかを考えてみましょう。
https://www.example.com/product
https://www.example.com/product
混乱して、どちらがどちらかを決められない場合でも問題ありません。それがポイントです。アプリとAPIのエンドポイントはほぼ同じように見えます。それは、技術的な観点では、RESTful(ほとんどの場合)であれば、HTTPS経由で同じように呼び出され、通常はGETメソッドを使用するためです。異なるのは、リクエストと共に送信されるペイロードです。APIでは、通常、JSONまたはXML形式のデータが含まれますが、Webアプリのリクエストには何も含まれない場合があります。
それでも、私たちの年次調査からの主要な発見の1つは、組織がセキュリティに関してアプリケーションとは異なるAPIとして扱っていることを意味します。私たちは、41%の組織がアプリケーションと同じかそれ以上の数のAPIを持っているにもかかわらず、それらを保護する同じセキュリティサービスにはより少ない価値を置いているという発見に基づいてこの推論を立てています。
あなたは、組織がどのようにしてアプリよりも多くのAPIを持つことになるのか不思議に思うかもしれませんね?質問してくれてありがとう!内部のサービス間通信(マイクロサービスなど)に使用されるAPIは、確かにそれらがサポートするサービスに密接に結びついていますが、APIが外部インターフェースを提供する場合には必ずしもそうではありません。
ここで、APIを活用するメリットをいくつか紹介します。企業がAPIを効果的に利用することで、自社の業務効率を向上させることができます。例えば、SlackアプリAPIを連携させることで、チーム内のコミュニケーションを円滑にし、ユーザーがリアルタイムで情報を共有することが可能です。また、OpenAI APIアプリやChatGPT APIアプリを活用することで、顧客対応の自動化を進める方法もあります。これにより、企業はリソースを最適化し、ビジネスの成長を促進することができます。
2021年の調査では、回答者の61%が「モダンなユーザーインターフェースを可能にするためのAPIレイヤーを追加している」と回答しました。2022年には、その数は45%でした。つまり、モダンなユーザーインターフェースを可能にするAPIは、直接アプリケーションに接続されているアーティファクトではない可能性があります。それらは、モバイルアプリやデジタルサービスなどのモダンなユーザーインターフェースとアプリケーションを促進するファサードであるか、パートナーやサプライチェーンとの通信を可能にするファサードであるかもしれません。これらのユースケースは、APIゲートウェイやロードバランサーのレイヤー7ルーティングによってサポートされており、しばしばAPIエンドポイントからアプリエンドポイントへの変換機能を提供し、それにより古いアメリカ西部の建物のように見せかけるAPIファサードを実現しています。
そしてもちろん、多くのAPIは、公開フェーシングエンティティであり、アプリにアタッチされ、通常はウェブ(通常はHTTPS)を介してアクセスされます。
どのようにそこに到達したかに関係なく、公開フェーシングのAPIはアプリケーションと同様の多くの攻撃を受けます。特にボットが関与する場合はそうです。良いドキュメントを持つAPIは、攻撃者がスクリプトを使用して大規模な攻撃を行うのを容易にします。
例えば、2023年にF5 Distributed Cloud Bot Defenseで保護されたトランザクションの約13%が自動化されていました。つまり、ウェブブラウザやモバイルアプリを使用する代わりに、スクリプトやソフトウェアが使用されました。これらのトランザクションは、APIとアプリの両方を介して発生します。これらの自動化されたトランザクションの一部は、確かに私たちのセキュリティサービスの存在によって、何か悪いことをしようとしていた「悪いボット」を防止したものである可能性があります。「このF5 Labsのレポートでは、彼らが何をしようとしていたのか、より深く掘り下げることができる)
したがって、回答者が自己申告したAPIの数に基づいてボット管理をどのように認識しているかを調査したとき、ボット管理が重要度のスケールでかなり低いことに驚きました。
上のAPIゲートウェイとボット管理チャートの棒グラフから、APIゲートウェイへの重要度が管理されているAPIの数に適切であるように見える一方で、ボット管理には同じことが当てはまらないことがわかります。実際、完全に逆です! APIの数が増えるにつれて、ボット管理の重要性が急速に低下するようです。
それらのAPIの大部分が内部向けである可能性があることは確かです。つまり、外部の悪意のあるアクターに露出されていないマイクロサービス間の東西のAPIです。
しかし、そうとは限りません。過去1年間に読んだ記事の数を考えると、攻撃者がAPIを介してアクセスを得るという話が多いので、外部のAPIの方が多いと思います。
したがって、組織がアプリとAPIの両方を保護するために、ボットを検出してそれらがしようとしている何か悪いことを防止することが必要です。
ボット防御を実際に見てみたいですか? このデモをチェックしてください。