Language
API攻撃が増加している理由とその回避方法

ニュース

ホームページホームページ / ニュース / API攻撃が増加している理由とその回避方法
search
最近のニュース

Aug 08, 2023

2024 Nissan Z NISMO ファーストルック:これは愛好家が望んでいたものですか?

Aug 10, 2023

2024年トヨタ ランドクルーザー ファーストルックレビュー:栄光の日々への回帰

Jun 23, 2023

2023 年に暑くて蒸れた車の空気を抜くための 5 つの安価なもの

Jan 19, 2024

専門家によると、2023年のベストガレージドアオープナー8選

Aug 12, 2023

全て

お問い合わせを送信してください
送信

Apr 03, 2024

API攻撃が増加している理由とその回避方法

API の使用の増加により、攻撃者は認証制御を破ったり、データを窃取したり、破壊的な行為を実行したりするためのより多くの方法を得ることができます。 オーストラリアのエネルギー会社 Jemena は、何らかの形で API を使用して、

API の使用の増加により、攻撃者は認証制御を破ったり、データを窃取したり、破壊的な行為を実行したりするためのより多くの方法を得ることができます。

オーストラリアのエネルギー会社 Jemena は、約 10 年間、何らかの形で API を使用してきました。 API (アプリケーション プログラミング インターフェイス) の使用は最近急増しており、今後 2 年間で 5 倍に増加すると予想されています。 「私たちはまだ取り組みの初期段階にいます」と、同社のサイバーセキュリティ アーキテクチャ リードであるダニエル ゴードン氏は言います。 「今ではすべてが後付けではなく、API ファーストになっています。」

Jemena は API を使用してビジネス パートナーと情報を共有したり、顧客向けアプリケーションで情報を共有したりしているとゴードン氏は言います。 「市場運営者や規制当局も API に移行しつつあります。 昨年はあらゆるものの API 化が明らかに加速しました。」

ゴードン氏は、これが会社に新たなセキュリティ上の懸念を引き起こすと考えています。 API の重要な点は、データへの効率的なアクセスを提供するように設計されていることです。 攻撃者が API を侵害できる場合、非常に短時間に大量のデータが流出する可能性があります。

ボットによるアクセスの防止に焦点を当てた Web アプリケーション セキュリティへの従来のアプローチは、定義上、すべての API リクエストがマシン間で行われるため、API セキュリティには適用されません。 「潜在的なデータ漏洩の問題ほどボットの問題はありません。 「私たちが最も懸念しているのは、データへの自由なアクセスです。エネルギー会社である私たちは、多くの個人情報を保有しています。」とゴードン氏は言います。

Jemena は従業員 3,200 人の会社で、350,000 以上の家庭や企業に電力を供給し、150 万以上の顧客にガスを供給しています。 通常の個人を特定できる情報に加えて、どの顧客が生命維持装置を持っているか、またはその他の特別な要件があるかなど、医学的に機密なデータもあります。 一部の種類のデータには、海外に送信できないという規制上の制約があり、特定の既知の関係者とのみ共有できるものもあります。 「すぐに難しくなってしまいます」とゴードンは言います。

同社の Web アプリケーションは Web アプリケーション ファイアウォール (WAF) によって保護されていますが、WAF でできることには制限があります。 「API のプロファイルは、WAF が従来から保護してきたものとは異なります」と Gordon 氏は言います。 「大量のリクエストが予想されるため、WAF はビジネス ロジック攻撃から保護できません。」 代わりに Jemena が必要としていたのは、各 API リクエストの詳細と、それを送信したマシンの動作を調べて、良いボットと悪いボットを区別できるセキュリティ ツールでした。 「ボットをブロックする古い企業はたくさんありますが、ネイティブ API セキュリティ ソリューションはそれほど多くありません」とゴードン氏は言います。 状況は変化している可能性があります。 「市場は来年にかけて大きく進化すると感じています。」

昨年末、Jemena は、同社がすでに導入しているセキュリティ システムと統合するソリューションを探し始め、Salt Security に落ち着きました。 このシステムは、API セキュリティに対して動作的なアプローチを採用しています。 「データの形状と、受信したリクエストが予想どおりの形状になっているかどうかを理解する必要があります」とゴードン氏は言います。

新しいツールは、企業の API トラフィックのパターンを学習し、標準的なリクエストがどのようなものかを把握し、そのパターンからの逸脱を探すことができました。 これは Web アプリケーション ファイアウォールの内側にありますが、同社のセキュリティ情報およびイベント管理システムである Splunk にも接続します。 「別のガラス窓を眺めたくなかったのです」と彼は言います。 Salt には独自のダッシュボードがある、と彼は付け加えた。 「しかし、私たちは Salt 自体に多くの時間を費やしているわけではありません。Splunk で生成されたものを確認することに時間を費やしています。」

API セキュリティに対する異常検出アプローチの潜在的な欠点の 1 つは、Web アプリケーションが頻繁に変更され、対応する API トラフィックも頻繁に変更されることです。 ジェメナでは、それが問題になるかどうか判断できるほど長い間システムが導入されていない、とゴードン氏は言う。 「API の量が増えるにつれて、状況を注意深く監視するつもりです。」

API のセキュリティを懸念しているのは Jemena だけではありません。それには十分な理由があります。 API により、攻撃者が機密データやシステムにアクセスできる方法の数が大幅に広がります。 これらを確保するのは特に困難です。 幸いなことに、AI を含む新しいテクノロジーは、企業がこの脅威に対処するのに役立ち始めています。