アプリケーション プログラミング インターフェイス (API) は、現代のアプリケーションをまとめる接着剤の役割を果たしており、開発者にとって不可欠なものであると同時に、ますます一般的な攻撃ベクトルにもなっています。API はさまざまなソフトウェア システムを接続し、それらのシステムが相互に通信できるようにします。これにより、企業は既存の社内機能とサードパーティ機能を活用して、新しい機能を迅速に市場に投入できるようになります。
しかし、システム間のこのデータの流れは、攻撃者にとっても魅力的なターゲットであり、攻撃者は機密システムを危険にさらすだけでなく、安全でない認証や承認の慣行を標的にして、顧客のデータを盗んだり、変更したり、その可用性を危険にさらしたりすることがよくあります。その結果、API の保護は、アイデンティティおよびセキュリティのリーダーにとって重要な懸念事項となるはずです。
このブログ投稿は、API セキュリティについて詳しく説明するシリーズの最初の投稿になります。この記事では、API セキュリティのユースケース、API セキュリティがもたらす固有の課題、そして AI ベースの異常検出が API ベースの攻撃の検出と軽減を強化する鍵となる可能性について、概要を説明します。
急速な成長には厳格なセキュリティが必要
API は、迅速かつ俊敏な開発のために構築されています。新しい機能を開発するために車輪の再発明をするのではなく、API を使用すると、事前に構築された機能とデータ アクセス ポイントを使用して開発を効率化し、市場投入までの時間を短縮できます。そのため、API はデジタル変革において重要な役割を果たし、機能豊富なデジタル アプリケーションの作成、マイクロサービス アーキテクチャの使用、新しい収益源とパートナーシップの機会を可能にします。
しかし、企業がデジタル変革を積極的に推進するにつれて、新しいスキルセットを学習する開発者がアプリケーションや API でコーディング エラーを起こし、脆弱性が露呈する可能性があります。また、API の使用が業界全体で急速なリリース サイクルを促進し続けているため、API ベースの開発の専門家であっても、新しい機能を市場に投入するために急いでいるときに、サードパーティの依存関係でエラーが発生したり、セキュリティを見落としたりする可能性があります。
顧客保護のためのAPIセキュリティの活用
個人情報の盗難というと、クレデンシャルスタッフィング攻撃やソーシャルエンジニアリング攻撃など、顧客を直接狙った脅威を思い浮かべることが多いでしょう。SIM スワップやデバイスの乗っ取りなど、より高度な方法も検討します。しかし、これらは詐欺師が顧客のデータやアカウントにアクセスするために使用する唯一の手段ではありません。
安全でない、時代遅れの、壊れた API はますます一般的な攻撃ベクトルになりつつあり、 2023 年の OWASP API セキュリティ リスク トップ 10のほぼ半分は、安全でない認証と承認に関連しています。実際、 2022 年のデータ侵害の 50% 以上はサードパーティ API の脆弱性が原因であり、アナリストは API の使用が拡大するにつれてこの傾向は増加すると予測しています。
API セキュリティは、データの安全性と可用性を確保することで顧客を保護し、次のような顧客 ID セキュリティのさまざまなユースケースを可能にします。
- すべてのアプリケーションの API を検出し、最新かつ安全な状態に保ちます。
- 攻撃者が API リクエストを傍受した場合に発生する可能性がある顧客データの漏洩を防ぎます。
- 安全なログイン、2 要素認証、パスワードのリセットに使用される API を保護することで、アカウント乗っ取りのリスクを軽減します。
- 大量のリクエストを使用してサービスをオフラインにする分散型サービス拒否 (DDoS) 攻撃を防ぐことで、顧客データの可用性を確保します。
- 転送中のデータ改ざんを防ぐ 攻撃者がユーザーのトランザクションを操作したり、ユーザーに返されるデータに悪意のあるコードを挿入したりしないようにするためです。
- 特権アクセスの保護 許可されたユーザーのみが機密システムにアクセスできるようにします。
APIセキュリティの課題
企業が API の使用を増やすにつれて、API を保護する必要性がますます認識されるようになっていますが、このタスクを達成するのは言うほど簡単ではありません。API は、さまざまな悪意のある動作を可能にするだけでなく、アプリケーションに侵入する最も簡単な方法であることが多いため、攻撃者にとって魅力的なターゲットとなります。
これは、API セキュリティの分野における次のような多くの課題によるものです。
- 発見の難しさ: 多くの場合、さまざまな部門が独自の API を開発したり、セキュリティ チームには知られていないサードパーティの API を活用したりしますが、これは実装の詳細と見なされることが多いためです。アプリが複雑になり、新しいバージョンがリリースされたり、大規模な組織が合併や買収を通じて API スタックを獲得したりすると、この課題はさらに困難になります。
- 簡単に入手できる情報によって可能になる攻撃: 攻撃者は、公開ドキュメントから API をリバース エンジニアリングして、それらにアクセスする可能性があります。こうした攻撃が開発されると、詐欺師は API 攻撃を自動化するための構成ファイルを作成し、それをダークウェブで販売する可能性があり、経験の浅い攻撃者にとって参入障壁が低くなります。
- アクセス制御の複雑さ: アクセス制御管理では、ユーザーの ID と属性、プライバシー設定、ユーザーがアクセスしようとしているリソースをすべて考慮する必要があり、静的なルールが古くなるのを防ぐために継続的な変更が必要になるため、決定ルールの開発と更新が困難になります。
これらの課題に加えて、API ベースの開発の性質上、検出は複雑な作業になります。API ベースの Web ページとモバイル アプリケーションは、動的なコンテンツを配信するために多数の個別のリクエストを行う多くの疎結合コンポーネントで構築されているため、攻撃者は悪意のあるリクエストを複数の API 呼び出しに分散することができ、正当なリクエストと不正なリクエストの違いを見つけるのがはるかに難しくなります。
しかし、人間が作ったルールではこうした微妙なリスク信号を検出するのは難しいかもしれませんが、この種の異常検出はまさに AI ベースのソリューションの目的です。
AIベースの異常検出によりAPIセキュリティを向上
API トラフィックのメタデータを分析することで、機械学習モデルは通常の API トラフィックのパターンを学習し、疑わしいリクエストをリアルタイムで検出できます。これらのモデルを使用すると、ヒューリスティック ルールを設計する人間が気付かない可能性のある、より微妙な攻撃パターンを検出し、新しいデータから継続的に学習することで、時間の経過とともに劣化するのではなく改善することができます。
しかし、AI ベースの検出の使用例は、検出の改善や新たな脅威への迅速な適応をはるかに超えています。AI ベースのエンジンは、API セキュリティに次のようなさまざまなメリットをもたらします。
- どのユーザーがどのAPIを使用しているかを判断することで、検出を改善し、適切なアクセス制御を実施します。
- 過去の行動やアクティビティのコンテキスト内でAPIリクエストを分析することで誤検知を削減
- 各ユーザーのエラー率を分析し、どの呼び出しが頻繁か、頻度が低いか、新しいかを把握することで、疑わしい動作や壊れたAPIや古いAPIを特定します。
- 手動更新の必要性を減らして効率を向上
- 複雑な詐欺グループや大規模なキャンペーンを発見できる攻撃パターンを見つけ、詐欺対策チームが大きな効果をもたらすルールを迅速に作成できるようにします。
- 時系列異常検出を使用して事後調査とリアルタイム検出モデルを強化し、過去のイベントと現在の脅威を相関させ、バッチ分析中に異常と外れ値を正確に特定します。
APIセキュリティとID保護の融合
API セキュリティは、アカウント乗っ取りやその他の ID ベースの脅威に悪用される可能性のある顧客データの保護を含め、サイバー脅威から最新のソフトウェア システムを保護するための重要な要素です。また、詐欺師が API 攻撃において脆弱な認証および承認プロトコルをターゲットにし続けるため、堅牢な API セキュリティ戦略を開発することが、アイデンティティおよびセキュリティのリーダーにとってますます重要になります。
クライアント側と API のセキュリティに対する総合的なアプローチにより、企業はエンドユーザーとエンドユーザーがやり取りする API の両方を標的とする脅威をエンドツーエンドで把握できるようになります。また、AI ベースのソリューションを利用すれば、詐欺師の急速に変化する手口に対応するプロアクティブな保護を実現できます。
詳細については、このシリーズの次のブログをお楽しみに。または、営業部に問い合わせて、Transmit Security の AI ベースの不正検出によって API セキュリティがどのように向上するかをご確認ください。
