「危ない『API』」はこうして生まれる:APIセキュリティへの懸念【第3回】

関連キーワード

API | アプリケーション | セキュリティ | 脆弱性 | 脆弱性対策 | アプリケーション開発

 アプリケーションやモノのインターネット(IoT)デバイスの裏側で、API(アプリケーションプログラミングインタフェース)がクラウドサービスとデータをやりとりすることは一般的になった。それに伴って、企業がAPI起因の攻撃を受けるリスクも高まっている。

 APIセキュリティベンダーNoname Gate(Noname Securityの名称で事業展開)の最高情報セキュリティ責任者(CISO)カール・マトソン氏は、「クラウドサービスが使うAPIが多様化し、APIの利用機会が急増している」ことがセキュリティ面での最重要課題だと言う。「IT部門にとっても、セキュリティ部門にとっても、こうしたAPIの多様化や増加に付いていくのは極めて難しい」(マトソン氏)

 マトソン氏は「複雑に絡み合うAPIの構図を描き出すだけでも困難だ。大量のAPIが極めて複雑化、多様化し、『動く標的』になっている」と述べる。

「危ない『API』」はこうして生まれる:APIセキュリティへの懸念【第3回】

 2021年8月、セキュリティベンダーRapid7の研究者アラビンド・ビシュワカルマ氏が、ホームセキュリティ機器ベンダーFortress Security Storeの家庭用無線LANセキュリティ製品「S03 WiFi Security System」に、複数の脆弱(ぜいじゃく)性が存在することを発見した。ビシュワカルマ氏のブログのエントリ(投稿)によると、これらの脆弱性の一つ「CVE-2021-39276」は、未承認のAPIアクセスを許す恐れがある。

“危ないAPI”はなぜ生まれるのか

併せて読みたいお薦め記事

APIとは何か

 クラウドセキュリティベンダーGlobalDotsでクラウドソリューションエンジニアを務めるドロール・アリー氏は、イスラエル国民の新型コロナウイルス感染症(COVID-19)ワクチン接種状況が明らかになる恐れのある脆弱性を発見した。アリー氏はイスラエル省庁のWebサイトで、健康状態申告フォームに記入しているときにこの脆弱性を見つけた。そのWebサイトが利用するAPIは、APIエンドポイント(APIにアクセスするための一意なアドレス)を使用していなかった。IDが手元にあれば、IDの持ち主のワクチン接種状況を知ることができる状態であることに、同氏は気付いた。

 さらに深刻化なのは、IDで明らかになるのが個人のワクチン接種状況だけではないことだ。イスラエルでは政府が国民にIDを与え、そのIDは決済サービスやPOS(販売時点情報管理)システムなど至る所で使用されている。

脆弱性対策が難しいAPI

 適切なセキュリティツールが十分にないことが、APIの脆弱性を一層危険なものにする。調査会社Forrester Researchでプリンシパルアナリストを務めるサンディ・カリエリ氏によると、APIのセキュリティを確保する上で最も大きな課題の一つは、「それ1つがあれば事足りるツールがないこと」だ。つまりAPIの脆弱性探しと評価にはそれぞれ別のツールが必要になる。これは多面的なアプローチだ。「出回っているAPIセキュリティツールを全て調査して、同僚やベンダーに『これはわれわれが扱っているAPIを対象としているのか』と尋ねなければならない」とカリエリ氏は語る。

 エリヤフ氏が考えるAPIセキュリティ最大の課題は、アプリケーション実行時にAPIのセキュリティを確保することだ。その難しさの要因は、攻撃の巧妙さや独自性が高まっている点にあると同氏は考える。

 APIの設計に存在する問題や設定ミスが原因で生まれる脆弱性もある。こうした脆弱性は、Web会議ツールや銀行のWebサービス、SaaS(Software as a Service)の開発者など、誰かがAPIのソースコードを変更することで生じる。これらの脆弱性は製品/サービス間で共通のものではないため、概して共通脆弱性識別子(CVE:Common Vulnerabilities and Exposures)が割り当てられない。エリヤフ氏は、「設計や設定に関する標準が存在しない中で、開発者が独自に開発手法を学べてしまうことが、APIにおける最大の課題だ」と推測する。

 一方でAPIセキュリティも進歩している。APIの脆弱性に対する理解度を向上させるための取り組みの例として、カリエリ氏はWebアプリケーションのセキュリティ強化を推進するコミュニティーOWASP(Open Web Application Security Project)の活動を挙げる。同団体は2019年に、APIの脆弱性の種類を分類するためのカテゴリーを作成した。APIのセキュリティを脅かすリスクトップ10のリスト「API Security Top 10 2019」も発表した。

 Akamai Technologiesでセキュリティ戦略部門の最高技術責任者(CTO)を務めるパトリック・サリバン氏は、API Security Top 10 2019が取り上げるリスクのうち、「APIのレート制限の欠如」を強調する。レート制限はAPI経由の通信回数を制限する技術だ。「Webアプリケーションに比べてAPIはセキュリティ対策の成熟度が低い。この問題は、CVEが付与されている、どの脆弱性よりも重大だ」とサリバン氏は話す。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

関連記事

タグ: