アカマイ・テクノロジーズは2023年9月28日、説明会を開き、米アカマイによるNeosecの買収後、同年8月から提供しているセキュリティサービス「API Security」について説明した。Webトラフィックをデータレイクに蓄積してAIで分析することで、未管理のシャドウAPIを可視化して脆弱なAPIを検出し、APIの悪用を検知する。
アカマイ・テクノロジーズの「API Security」は、Web APIのセキュリティを確保するためのデータ分析サービスである。
米アカマイが買収した、米国とイスラエルが拠点のNeosecの製品を基にしている。Web APIにアクセスするトラフィックデータ(URL文字列やアップロード/ダウンロードしたデータ)を最大で90日間データレイクに蓄積し、このうち過去30日分のデータをAIで分析する。これにより、APIへの攻撃を検出する。
図1:Web APIではBOLAと呼ぶオブジェクトレベル認可の不具合が多い。APIのリクエストに含まれるオブジェクトIDを変更することで、アクセスが許可されていないオブジェクトにアクセスできてしまう(出典:アカマイ・テクノロジーズ)拡大画像表示
「Web APIは数が多く、機能の更新頻度も高いため、セキュリティ上脆弱な設計のAPIも多く混じる」とアカマイは指摘する。特に、BOLA(Broken Object Level Authorization:オブジェクトレベル認可の不備)と呼ぶ不具合がAPIでは多いという。APIのリクエストに含まれるオブジェクトIDを変更することで、本来アクセスが許可されていないオブジェクトにアクセスできてしまう不具合である(図1)。
例えば、APIの利用者を識別するための情報を不正入手/推定されることで、正規の利用者を騙られアクセスを許してしまう。ログインに成功した正規ユーザーのセッションになりすまされると、WAF(Webアプリケーションファイアウォール)などのゲートウェイ型の入口対策では防ぐことが難しくなる。
API Securityは、ゲートウェイ型のセキュリティ対策を補完し、見つけにくいAPIへの攻撃をデータ分析のアプローチで検出する。まず、どのようなAPIへのアクセスがあったかが分かり、未管理のシャドウAPIが可視化される(図2)。
図2:「API Security」の概要。Webトラフィックを蓄積して分析することで、脆弱なAPIを検出する(出典:アカマイ・テクノロジーズ)拡大画像表示
そして、リクエストの内容(パラメータの規則性など)を分析することで、APIの脆弱性が分かる。また、いつもとは異なるパターンのアクセス(脆弱性を突いた攻撃の可能性のあるアクセス)を検出して警告を出す(図3)。
図3:「API Security」が脆弱なAPIや、脆弱性を突いたAPIアクセスを検出する具体例(出典:アカマイ・テクノロジーズ)拡大画像表示
