API セキュリティの問題点
2023年1月23日、Mike Vizard
T-Mobileの3700万件のアカウント情報漏えいを受け、アプリケーションプログラミングインターフェース(API)のセキュリティに今、注目が集まっています。デジタル経済の時代において API は、データを共有する基盤であり、すでに何百万という API が使用されています。残念ながら、これらの API のセキュリティ確保は後回しにされてきました。そして今、そのツケが回ってきています。
T-Mobile の報告によると、侵害された API は顧客データへのアクセスを提供していましたが、顧客の決済カード情報(PCI)や社会保障番号/税金 ID、運転免許証やその他の政府から発行された ID 番号、パスワード/個人識別番号(PIN)やその他の金融口座情報は被害を免れたということです。つまり、もっと悪い事態に陥る可能性すらあったということです。
API セキュリティに関して多くの組織が直面しているのは、誰に責任があるかが必ずしも明確ではないという問題です。開発者は日常的にデータを共有するための API を作成しています。これらの API の大部分は REST アーキテクチャに基づいていますが、例えば、GraphQL に基づくほかのタイプの API も人気は高いです。問題の核は、こうした API を作成する開発者がサイバーセキュリティの専門知識をさほど持っていないため、サイバー犯罪者にとってデータを入手しやすくなるようなミスをしてしまいがちだということです。
一方でサイバーセキュリティチームも、こうした API がどのように作成され、展開されているのか、ほとんど知らされていません。その結果、API はすべて、実質的に安全でないエンドポイントになってしまっているのです。幸いなことに、API の大半は組織内部向けなので、当面は外部からアクセスできる API のセキュリティに集中すればよいでしょう。ただ、外部からアクセスできる API の数は少ないとはいえ、サイバーセキュリティチームは内部向けの API のセキュリティも甘く見てはいけません。社内の API に社外のユーザーもアクセスできるようにするのは開発チームにとってさほど大変なことではありません。したがって、今日は十分に安全だと思われても、何らかの理由である事業部門が既存の API を社外のエンティティからアクセスできるようにしてしまえば、明日には非常に大きな問題となりうるのです。
少なくとも理論上は、開発者が API セキュリティにより多くの責任を負うようになっています。DevSecOps のベストプラクティスを採用することで、一般的にアプリケーションセキュリティのシフトレフトが進んでいるからです。しかし、すでに作成された API の数は数百万にのぼります。加えて、開発チームから見捨てられてたものの今なおデータへのアクセスが可能な「ゾンビ API」も無数に存在します。作成されたすべての API エンドポイントを見つけ出し保護することは、やはりサイバーセキュリティチームの責任なのです。
組織の API セキュリティの最終責任を誰がとるかにかかわらず、API セキュリティに十分な注意が払われていないことは明らかです。Web アプリケーションを何年も悩ませてきたサイバーセキュリティの問題は、API にも影響を及ぼします。問題は、安全でない API の数が、Web アプリケーションの数よりもケタ違いに多いことです。今日のサイバーセキュリティチームは API セキュリティの専門知識をあまり持っていないため、2023年に組織が API セキュリティ問題を経験する確率は、残念ながら、誰も認めたくないほど高いでしょう。
原文はこちら
The Trouble with API security
Jan. 23, 2023 Mike Vizard
https://blog.barracuda.com/2023/01/23/the-trouble-with-api-security/
No comments yet.