モバイルアプリやIoTデータ連携など、様々な場面でWeb APIが使われている。Webブラウザから明示的にアクセスするWebアプリケーションと比べると、APIは一般的にセキュリティ対策が甘めで、認可の仕組みの不備をついた成りすましによる情報漏えいなどが起こりやすい。一方でリリースサイクルの短縮が求められる開発の現場では、機能実装が優先され、セキュリティ対策に十分なリソースを割けず、開発者のセキュリティスキルも不足、という課題を抱えている。API攻撃への対策が難しい理由、開発者に負担をかけずに有効な対策を講じる方法について、アカマイ・テクノロジーズのキーパーソンに聞いた。
提供:アカマイ・テクノロジーズ合同会社
「サイバー攻撃全体におけるAPI攻撃の割合は増え続けている」と指摘するのはアカマイ・テクノロジーズの中西一博氏(写真1)だ。日本のWebへの攻撃の23.4%が実にAPIへの攻撃であり、その割合はグローバルではすでに3分の1になっているという(アカマイ調べ)。会社の多くは、Webサイトを守る一方でAPIは放置しているなど、APIのセキュリティを後回しにしているため、「実際にはデータが取れてないだけで、API攻撃の比率はもっと高い可能性もある」(中西氏)。
写真1:アカマイ・テクノロジーズ合同会社 マーケティング本部 プロダクト・マーケティング・マネージャー 中西一博氏Web APIは、モバイルアプリの外部サービス連携やIoTデータ連携など、様々な場面で使われている。APIへのアクセスはWebブラウザ操作と異なり、気付かないうちに裏で行われている。現在、APIに不正なリクエストを渡して情報を盗むといった攻撃が増えており、ビジネス面でのインパクトが大きい。
Webシステムを対象とした攻撃の多くは、リクエストの内容が攻撃かどうかをルールに基いて判断可能であり、WAF(Webアプリケーションファイアウォール)などで、ある程度は防げる。一方、APIは各社が自社の仕様に基づいて設計しており、その仕様や実装に独自の欠陥や脆弱性が生じやすい特性がある。つまり未知の脆弱性となるため、脆弱性情報に基づいて作られるWAFルールでは、その欠陥をつく攻撃の防御は原理的にできない。そのためAPI攻撃には、WAFの防御を通り抜けてしまう攻撃が存在する。
結論として、現代のビジネスを裏で支えるAPIを安全に保つには、APIを棚卸してAPIの仕様を台帳管理したり、いつもと異なるAPIへのリクエストを機械学習で検知したりするなど、APIに特化したセキュリティ対策が必要になる。「セキュリティ担当者とAPIを利用するアプリケーション開発者が協力し合うことでAPIの脆弱性を減らし、安全なAPIを運用することが望ましい」(中西氏)。
API攻撃増加の背景に開発基盤、アーキテクチャ、開発スタイルの変化
API攻撃が増えた理由について中西氏は「APIがどこでも使われていること」を挙げる。例えば、個人の資産管理アプリは、金融サービスのAPIを利用して情報を取得している。IoTデバイスのデータ連携でもAPIが使われている。法人向け事業でも、例えばプリンタや業務車両の遠隔保守などの用途でもAPIを使っていることがある。
サーバーサイドにおいても、新たにサービスを開発・追加する際には、クラウドを基盤にマイクロサービスアーキテクチャを採用することが増えた(図1)。認証基盤やデータベースなどの機能を複数のシステムで共有する、といった使い方である。マイクロサービス同士がAPIで通信しており、通信の内容がネットワーク上で捕捉できるようになっている。クライアントとサーバーの通信もAPIで行われる。
そしてウォーターフォールからアジャイルへの開発スタイルの変化。変化が激しいモバイルやクラウドの世界では、「早期のリリース、頻繁なリリース」で運用しながらサービスを成長させる開発スタイルがフィットする。その過程においてAPIも頻繁にアップデートを受けることになるが、十分なセキュリティチェックがされなかったり、古いAPIが使われないまま放置されたりすることが少なくない。
モバイルファースト、クラウドシフト、アジャイル開発といった開発環境の変化により、APIの利用が爆発的に増加し、そこを攻撃者に狙われるようになったわけだ。
図1:現在のWebアプリのシステムアーキテクチャ。機能ごとに分かれたマイクロサービス同士をAPIで連携させることによってWebシステムを構成している拡大画像表示
Next: API攻撃の手法、WAFで防げない理由、有効な対抗策
- 1
- 2
- 次へ >
