API: 私たち全員をつなぐ攻撃対象領域

インターネットは、ランダムな障害に対して高い回復力と自己修復力を備えていますが、人為的なエラーの影響を受けやすいという欠点もあります。

アプリケーション層、特に人間層に近づくほど、これがどのように機能していたのか疑問に思うようになります。特にランサムウェアによる、注目度の高いサイバー攻撃は、近年、より頻繁に発生し、蔓延しています。ただし、燃料、ステーキ、飛行機旅行、データのバックアップなど、とんでもない物に依存していない限り、心配する必要はありません。

このホワイト ペーパーでは API セキュリティに焦点を当てていますが、API を長い間見てきた人なら、セキュリティが後回しにされることが多いことをご存知でしょう。

セキュリティ開発のためのAPI（つまり、人）

ソフトウェア コンポーネントが相互に通信できるようにする API を検討する際には、セキュリティ チームと開発チーム間のインターフェースも考慮する必要があります。

セキュリティと開発は、それぞれ異なる経験、語彙、目標があるため、これまで共通言語を共有したことがありませんでした。しかし、この緊張関係は、より多くの機能を提供し、より迅速にリリースし、「DevOps」の旗印の下で最新のエンジニアリング トレンドを採用するという避けられないプレッシャーにより、ますます重要になっています。より一致させるためには、何を変える必要があるのでしょうか。

次は何？

価値実現時間 (または Time To First Value、TTFV) は、製品管理で使用される用語で、新規顧客または見込み客が販売した製品またはサービスから価値を得るのにかかる時間を示します。明らかに、目標は「可能な限り迅速に」です。新しいセキュリティ担当者の価値実現時間を短縮する必要があります。

ジェレミア・グロスマン氏は、現在の侵害の範囲と影響について、攻撃戦略が向上したからではなく、敵が情報セキュリティ部門よりも初心者の採用と訓練に長けていることが原因だと断言している。

API保護

世界とのコミュニケーション

API はどこにでもあります。インターネット上でアクセス可能な各アプリケーションやサービスは、何らかの形で API によってサポートされています。API は、今日、モバイル アプリ、モノのインターネット (IoT)、クラウドベースのクライアント サービス、社内アプリケーション、パートナー アプリケーションなどの基盤となっています。

API によって生じるセキュリティ問題に加えて、速度も考慮する必要があります。API トラフィックがオリジン サーバーから CDN 側のエッジ サーバーにオフロードされるため、Akamai は API のパフォーマンス向上を定期的に監視します。この配置により、アクセス性が促進され、可用性が保証されます。

しかし、新たな問題が浮上しています。従来のネットワーク セキュリティ ソリューションで API を保護している組織は、せいぜい平凡な結果しか得られないか、まったく得られません。これは、従来のネットワーク セキュリティ標準では達成できる成果に限界があるためです。

ウェブサイトやオンライン アプリに関連する危険の大部分は API にも当てはまりますが、個別に処理する必要があります。

API により、企業が防御しなければならない脅威の表面積が大幅に増加します。したがって、防衛および開発組織は、これらの問題領域の解決にさらに力を入れなければなりません。

2021 年までに、Web 対応アプリの 90% は、ユーザー インターフェイスではなくパブリック API の形でより大きな攻撃対象領域を持つことになります (2019 年の 40% から増加)。

幸いなことに、企業の幹部やセキュリティ チームは、より堅牢な API セキュリティ体制をすでに採用しています。しかし、拡大する可能性は十分にあり、犯罪者は確実に API セキュリティ ホールを悪用しています。

Akamai のホワイトペーパーをダウンロードして、Whitepapers Online でのみ公開されている「API: The Attack Surface That Connects Us All」の詳細をご覧ください。