サードパーティーAPIのセキュリティリスク

多くの企業が、増え続けるサイバー攻撃に対する保護を強化するために、境界セキュリティを着実に向上させてきました。そのため、ハッカーたちは企業のデータにアクセスする別の手段を探し始め、サードパーティーAPI に目をつけました。

アプリケーションプログラミングインタフェース (API) は、その性質上、通常であれば保護されているはずのアプリケーションやデータへの扉を開きます。自社開発 API はコントロールできますが、サードパーティー API の利用が増えれば、企業データへのアクセスをサイバー犯罪者に簡単に獲得されてしまうことになるかもしれません。

サードパーティーAPI の長所と短所

サードパーティー API を使用すると、企業のデータ、ツール、およびテクノロジに簡単にアクセスでき、開発プロセスがシンプルになって開発期間の長期化を防ぐ一助になります。スマートフォンアプリを使用して道順を確認したり、予約をしたり、写真を共有したり、チケットを購入したり、電子メールを確認したりするときはいつでも、API を使用しています。わかりやすい例は、Google が開発したツールを使用して Web サイトに地図を追加するサービスです。この API は、Google マップの機能を使用して地図を表示し、Web ページに道順案内を挿入できるように設計されています。便利な一方、このAPIを利用することでデータの一部が他からアクセスできるようになってしまうかもしれない危険も伴います。入手可能な サードパーティーAPI の数が21,000を超え、多くの企業でサードパーティーAPI を使用している現在、セキュリティ上のほころびが懸念されます。

近年、サイバー攻撃はより集中的かつ計画的になってきています。犯罪グループのリサーチャーは、企業のシステムを調査し、対象となるサーバー上の脆弱なパッケージやツールを慎重にチェックします。サードパーティーAPI がセキュリティ保護を考慮した設計になっていなかったら、サイバー犯罪者にたやすい攻撃ベクトルを与えることになります。セキュリティの弱い API によって生ずる脆弱性やそれを利用した攻撃には、暗号化されていないデータの転送、認証、クロスサイトスクリプト、クロスサイトリクエストフォージェリ、サービス拒否、マルウェアコードの挿入、中間者攻撃、なりすまし攻撃、キーなどの統一されたリソース識別子の中に保存されたデータのキャプチャなどがあります。

関連ブログ: ブリティッシュ・エアウェイズはGDPRに違反したのでしょうか?

API に関する最大のセキュリティリスク

Trustwave のレポートによると、最大のセキュリティリスクはクロスサイトスクリプティング（XSS）です。これは最もよくある攻撃で、2018年のレポートで確認されたすべての攻撃の40％で使用されています。次に多いのはSQLインジェクション（SQLi）で、攻撃の約24％を占め、次いで7％を占めたのがパストラバーサル（ディレクトリトラバーサル）攻撃でした。これらの攻撃は他の技術とも組み合わされて、標的となるデータや資格情報を盗みます。T-Mobile、Verizon、Snapchat、oBike、Panera、PF Chang’s、LocationSmart など、API の脆弱性のためにデータ侵害を受けた企業は枚挙にいとまがありません。顧客アカウントが乗っ取られ、個人情報や写真が盗まれ、場合によってはサイバー犯罪者がクレジットカード番号を抽出することさえできました。

Trustwave レポートによると、個人識別情報を盗んだ場合の対価の平均額は1ドルに満たないものの、分野によってはレコードあたりの対価が高額に及ぶものもあります。中でも高額なのは医療記録で、これを盗むとサイバー犯罪者は1レコードあたり平均250.15ドルを獲得しています。クレジットカードのレコードが平均5.40ドルで、単独の社会保障番号は1番号あたり0.53ドルというのに比較すると、いかに突出しているかがわかります。

これらのセキュリティ侵害が発生すると、企業は様々なかたちで損害を被る可能性があります。規制コンプライアンス違反に対する制裁金が科されたり、規制当局による監視が強化されたりします。さらに、民事訴訟、刑事訴訟、集団訴訟を起こされる可能性もあり、敗訴すれば罰金、評決前の和解金、裁判費用などは膨大な金額になるでしょう。ビジネスの信用は失墜し、顧客や投資家が去っていきます。メディアからも攻撃され、競合他社はほくそ笑むでしょう。失った信用を取り戻すためにキャンペーンを実施しようとすると、それにも多額の出費が発生します。ひいては、ビジネスの持続可能性にも疑問符がつくかもしれません。

サードパーティーAPI が内包するこのような高いリスクを回避するには、業務環境で使用されているサードパーティーAPI を正しく検証し、セキュリティに影響を与える可能性がある更新がないかどうか、それらのAPIを常に監視することが必要になります。API セキュリティは困難な問題です。環境内の多様な API、データ、アプリケーションにアクセスする様々なデバイス、ブラウザ、アプリケーションを管理する必要があります。データの安全性を確保するため（そしてコンプライアンス担当者に証明するため）には、サードパーティーAPI とその API によって提供されるデジタル資産の間に完全な双方向の監査証跡が必要です。

ただ、このような状況を支援する利用可能なツールとして、分析、開発者の関与、監視と警告、サービスの統合、ライフサイクル管理を提供するAPI管理プラットフォームがあります。これらを使うことで、問題が特定でき、データの安全性を確実に保つよう取り組むことが可能になります。Gartner の2018年のマジック・クアドラントによると、フルライフサイクル API 管理の主力製品は次の通りです。

• Google Apigee
• CA Technologies CA API Management
• IBM IBM API Connect
• Software AG webMethods API Management Platform
• Salesforce Mulesoft Anypoint Platform
• TIBCO Software Mashery
• Red Hat 3scale API Management
• SAP Cloud Platform API Management
• Amazon Web Services Amazon API Gateway
• Axway AMPLIFY API Management
• Microsoft Azure API Gateway

まとめ

API はデジタル社会とデジタルビジネスを機能させています。One Poll によると、企業は平均363の異なる API を管理しています。サードパーティーAPI を利用することで、データ、アプリケーション、テクノロジーへのアクセスが容易になり、開発期間を短縮でき、コスト削減し、顧客エクスペリエンスを向上させることができます。一方、サイバー犯罪はより高度化しており、脆弱なサードパーティーAPI は標的型攻撃に利用されます。できるだけ早急に API の使用を監査して業務環境に脆弱性がないかチェックし、企業データを確実にセキュリティ保護する手段を検討することが望まれます。