非表示の API: 盲点により公共機関が攻撃にさらされているのか?

私が何度も目にする最大の課題の 1 つは、ネットワークの脆弱性に対する可視性の欠如です。 多くの組織は、使用している API の数を把握していません。 約 100 個の API があると思っていたクライアントに対して API 検出演習を実施したところ、実に 30,000 個近くの API があることが判明しました。 これは珍しいことではなく、重大なセキュリティリスクをもたらします。

API は、アーキテクチャ、コンポーネント、タイプ、プロトコルの寄せ集めの中に隠れた複雑なエコシステムで動作します。 平均して、組織は 20,000 を超える API を使用します。 2030 年までに、公共部門と民間部門全体で使用される API の総数は 20 億を超えると予想されています。 これらを管理および保護する際の課題として最もよく見られるのは、文書の不足や発見の難しさです。 

未知または管理されていない API が急増するこの「シャドー IT」現象は、脆弱性の温床となります。 これらの API には適切なセキュリティ制御が欠如していることが多く、悪意のある攻撃者の格好の標的となります。 家の中に鍵をかけていないドアや窓を置いておくのと同じだと考えてください。侵入者を招き入れているようなものです。 

API は、国家レベルの攻撃者とサイバー犯罪組織の両方からますます標的にされるようになっています。 政府および防衛関連の API は、一般向けの API と同様に脆弱です。 おそらく、彼らが扱うデータは機密性が高いため、ターゲットとしてさらに魅力的であると言えます。

API は、ネットワークへのより深い攻撃のエントリ ポイントとして使用される可能性があります。 侵害された API により、内部システム、データベース、その他の重要なリソースへのアクセスが可能になる可能性があります。 それはまるで、組織の中枢に通じる秘密の通路を見つけるようなものです。 米国を拠点とするネットワーク事業者である T-Mobile の事例で見られたように、脅威の攻撃者は API の脆弱性を悪用して、ダーク ウェブ上で価値のある機密データに不正アクセス可能性があります。 この事件では、攻撃者は3,700万件の既存顧客アカウントの個人情報を盗みました。 

さらに複雑なことに、組織は自社のシステムと接続するすべての API を完全に制御できない場合があります。 

米国 財務省の攻撃者は、サードパーティのソフトウェア コンポーネントの脆弱性を利用してアクセスを獲得しました。皮肉なことに、そのソフトウェアは財務省のサイバー防御の一部をなしていました。 これらのサプライ チェーン攻撃は、あらゆる規模やステータスの組織に影響を及ぼす可能性があり、Solar Winds 攻撃や Volt Typhoon グループなど、数多くの例が注目を集めています。

堅牢な API セキュリティ対策には、あらゆる手段を講じる必要があります。 2024 年のapplication戦略の現状レポート: API セキュリティでは、どの API が最もリスクにさらされているのか、どの API が保護から見落とされやすいのか、そして AI 時代に API を安全に保つために API セキュリティ モデルと責任をどのように適応させる必要があるのかを明らかにします。 ネタバレ注意: API も採用しない限り、ゼロ トラスト セキュリティにも盲点があります。 

AI は API セキュリティを強化すると同時に、セキュリティの強化にも役立ちます。 ガートナーは、大規模な言語モデルがデータを収集して交換するために必要な API の数により、2026 年までに AI の導入がAPI 需要の増加の 30%以上を促進すると予測しています。 各 API にはドキュメントとセキュリティが必要であり、悪意のある意図が生まれる可能性が高くなります。

幸いなことに、組織は無防備というわけではなく、AI は強力な防御ツールとして登場しています。 AI と機械学習は API トラフィックをリアルタイムで分析し、人間が手動で特定することが不可能な異常や疑わしい動作を検出できます。

AI は API を分類し、通常の動作パターンを理解し、潜在的な誤用やセキュリティの脆弱性をフラグ付けできます。 また、セキュリティ ポリシーを動的に生成して、進化する脅威に適応し、API が常に保護されるようにすることもできます。 それは、疲れを知らないインテリジェントな警備員が API トラフィックを常に監視しているようなものです。