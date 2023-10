The Hacker Newsは10月2日(現地時間)、「APIs: Unveiling the Silent Killer of Cyber Security Risk Across Industries」において、API(Application Programming Interface)がサイバーセキュリティにもたらす重大な課題、その理由、それら課題を解決するための対策について伝えた。

近年のクラウドコンピューティング、モバイルアプリケーション、モノのインターネット(IoT: Internet of Things)の普及により、APIの導入は加速している。APIによりサードパーティサービスの統合、機能の強化、革新的なソリューションを迅速に開発することが可能となり、今日のデジタルライフにおいて必要不可欠な技術とされている。

APIはその普及と共にサイバー攻撃の標的となっており、さまざまな業界においてセキュリティリスクとなっている。The Hacker Newsによると、2023年のレポートでAPIを標的とするサイバー攻撃は137%増加し、医療、製造業が多く狙われているという。また、最新のState of API Security 2023のレポートでは、APIセキュリティの懸念事項の上位リストとして、以下が挙げられている。

ゾンビAPIとして知られる古い非推奨のAPIの存在

分散型サービス拒否攻撃(DDoS: Distributed Denial of Service attack)の影響

中間者攻撃などによるアカウントの乗っ取り

機密データの偶発的な漏えい

意図的に盗まれたデータが意図せずに流出する

文書化されていないシャドウAPIの存在

The Hacker Newsは業界ごとのAPIセキュリティの現状および抱えているリスク、発生した被害について解説している。また、APIのリスク軽減策とベストプラクティスとして、次のような対策を推奨している。

サイバー攻撃となりうる資産を把握・管理する取り組み(ASM: Attack Surface Management)によるAPIの発見とインベントリの作成により、内部および外部向けの攻撃対象領域を管理する

自動化技術と手動技術の両方を使用したハイブリッドペネトレーションテストにより脆弱性を特定する

自動化されたセキュリティ検証を継続的に実施する

APIはサービスの効率性や革新性をもたらす代わりに新しい複雑なサイバーセキュリティの課題をもたらしている。不正アクセス、サービスの中断、システムの侵害などのリスクが指摘されており、管理が不適切であると重大な結果につながる可能性がある。APIを管理する組織においては最新のベストプラクティスを実践し、被害の回避または軽減に務めることが推奨される。