ニュース

Apr 28, 2023

FireTail レポートで API セキュリティ侵害は少数だが致命的であることが判明

Home » Security Boulevard » Il rapporto FireTail rivela la sicurezza delle API

ホーム » Security Boulevard (原文) » FireTail レポートで API セキュリティ侵害は少数だが致命的であることが判明

アプリケーション プログラミング インターフェイス (API) を保護するプラットフォームのプロバイダーである FireTail が実施した 2022 年のサイバーセキュリティ侵害の分析では、公的に記録された API に関連した侵害は 12 件のみで、2023 年までにさらに 6 件が公開されています。

ただし、API データ侵害の平均サイズは、インシデントごとに 1,000 万レコードを超えています。 1 件の記録侵害の総コストが 180 ドルであることから、API セキュリティ侵害の総コストは優に 850 億ドルに達する可能性があることがレポートで判明しました。

API セキュリティに関連するデータ侵害の上位 2 つのカテゴリは、1 億 3,500 万レコードまたは侵害された全レコードの 28% を占める認証と、1 億 500 万レコードまたは侵害された全レコードの 22% を占める認証です。

FireTail CEO の Jeremy Snyder 氏は、インターネット トラフィックの 85% 以上が API を介して移動しているため、API のセキュリティ侵害が発生し、総コストが増加するのは時間の問題であると述べました。 残念ながら、API セキュリティへの注目のレベルは、ビジネスに対する潜在的なリスクに見合っていないと彼は付け加えました。

さらに、利用できる API セキュリティの専門知識のレベルは依然として限られています。 たとえば、認証プロセスで見落とされがちな考慮事項の 1 つは、認証資格情報を繰り返し検証し、資格情報をアクティブなセッションにバインドする必要があることです。 静的 API キーのような長期間有効な認証情報は、シークレットが拡散する可能性があります。 一部の一般的な認証メカニズムは、API に脆弱性をもたらす可能性もあります。

そのため、トークンが予期された形式に準拠しているかどうかを確認するだけでなく、定期的に認証を強制するように API を設計することが重要です。

API セキュリティの責任者が誰であるかは必ずしも明確ではありません。 しかし、サイバー犯罪者は API を介してどれだけ多くのデータを抽出できるかを高く評価しているため、これらの API を保護する任務を負ったサイバーセキュリティ チームと API を作成する開発者との間でさらなる協力が必要であることは明らかです。

さらに難しいのは、主に API を広範囲に利用するマイクロサービス ベースのアプリケーションの台頭のおかげで、運用環境にデプロイされる API の数が大幅に増加していることです。 また、開発者がいわゆるゾンビ API をデプロイしていることも珍しくありません。この API はサポートされなくなったが、依然として外部の脅威アクターによってアクセスおよび操作される可能性があります。 さらに、IT 部門の誰も知らないうちにセットアップされた不正な API もよくあります。 サイバーセキュリティチームが API に関して遭遇する最大の問題は、彼らが知らないものを保護することができないことである、と Snyder 氏は述べています。

少なくとも理論的には、アプリケーションの構築とデプロイに DevSecOps プラクティスを採用しているアプリケーション開発チームは、API のセキュリティ保護についてより多くの責任を負うことになりますが、侵害に対する責任を負うのは常にサイバーセキュリティ チームになります。 ただし、これまでサイバーセキュリティ チームは境界とエンドポイントのセキュリティに重点を置いていたため、サイバーセキュリティに割り当てられた予算のほとんどが API には適用されていませんでした。

API 侵害がより一般的になるにつれて、今後数か月で状況が変わる可能性があります。 それまでの間、サイバーセキュリティ チームは、誰が作成したかに関係なく、少なくとも、知っている、保護する責任を負っている API のインベントリを作成する必要があります。