API がハッカーの理想的なターゲットである理由とは?

API の可視性とセキュリティの低さに起因する重大なセキュリティ侵害は増加しており、今後も継続すると思われます。¹ 組織のデジタル化に向けた競争により、適切に保護されていない API がさらに多く実稼働環境に組み込まれることになります。 多くの組織は、設計とコーディングを改善することで API の脆弱性を解決しようとしますが、一般的なアプリケーションと同じセキュリティ上の欠陥に気付くだけです。これは、一般的なアプリケーション開発者にとってセキュリティが中核的な能力ではなく、セキュリティ チームが環境内のすべてのサードパーティの相互接続を認識していない可能性があるためです。

API の無秩序な拡大の根本にあるのは、ガバナンスとベスト プラクティスを含む総合的な戦略の欠如です。 アジャイル アプリケーション開発では、API バージョン管理の利点を活用せずに、同じ API の複数のバージョンが作成されます。 マイクロサービスに移行すると、数十の API で構成されるアプリケーションが生まれます。

管理されていない API は、不正な API、シャドウ API、ゾンビ API を作成します。 API は 2030 年までに 20 億に近づき、問題はさらに悪化するでしょう。²

分散クラウド環境での運用は今日では標準となっています。 ただし、セキュリティを制御するための単一のエントリ ポイントとして専用の API ゲートウェイを使用すると、単一障害点やパフォーマンスの低下などの制限が生じます。 今日の API ゲートウェイは API インフラストラクチャの重要なコンポーネントであるため、API の普及により API ゲートウェイの導入が増加し、API ゲートウェイの無秩序な増加につながることが明らかになりました。

最新の WAF は、GraphQL や gRPC などの API プロトコルに対して強力な保護とセキュリティを提供し、重大なソフトウェアの脆弱性に対する一時的な対策を提供しますが、ハイブリッドおよびマルチクラウド アーキテクチャ全体にわたる高度な脅威を検出するために必要な API の観測性を提供しないことがよくあります。 多くの WAF には、動的な API 検出、自動検出と脅威の軽減、テスト、OpenAPI ドキュメント仕様の自動化と適用の機能が欠けています。

ハッカーが API を好む理由がわかったところで、どうすれば API を保護できるでしょうか?

規制当局は API によってもたらされるリスクに注目し、第三者を含む IT 企業全体でリスクを軽減するよう企業に奨励しています。 米国 財務省と消費者金融保護局 (CFPB) は、API を保護する必要がある準拠組織に対して強力なガイダンスを発行しました。 標準の観点から見ると、PCI DSS v4 要件 6.3.2 では API セキュリティが要求されており、2007 年以降の NIST 800-95 セキュア Web サービス ガイドの推奨事項と、マイクロサービス ベースのアプリケーション システムの 800-24 セキュリティ戦略では、セキュアな API 管理が指定されています。