近年、クラウド化やAPIの利用は急激に伸びています。しかし新しい技術が普及するということは、それだけ新しいセキュリティリスクも増えているということなのです。そこで今回は、API利用時におけるセキュリティ対策、「WAAP」についてご紹介していきます。
APIに潜むセキュリティリスク
APIの普及は利便性を向上させてくれる現在では欠かせない機能となりました。それに伴い、APIの特性を突いた脆弱性が確認され、サイバー攻撃に利用されているのも事実です。そこで、まずはAPIがどのようなものかを知り、どんなリスクを抱えているかを知りましょう。
APIとは
APIとは、「Application Programming Interface」の頭文字からそう呼ばれています。日本語で言うと「アプリを開発する際の窓口」となります。具体的には、他社が開発したアプリの中で公開されているものを自社のアプリで使用すると言うことです。APIを利用すれば、異なるソフトウェアやプログラムを連携させることができるため、アプリケーションやサービスの開発を効率化することができるようになります。
例えば、自社ホームページにGoogleマップの情報を掲載するのも立派なAPIです。他にも、大手ECサイトのAmazonとの連携やSNSの連携など、私たちが実際に利用しているサービスにもAPIは活用されているのです。
APIを利用することにより、開発している側はアプリのクオリティアップなどの可能性を広げることができ、提供している側は気軽にサービスを利用してもらうようにできるという、まさにwin-winの状態が出来上がるのです。
APIを利用した攻撃とは
API連携は便利な反面、悪意のある攻撃車から標的にされやすく、正しく管理しなければAPIセキュリティが突破される糸口にされてしまいます。
アメリカのオープンコミュニティのOWASPでは、APIに関する重大なセキュリティリスクトップ10をランキング形式で紹介しています。
APIセキュリティリスクトップ10の中、最も危険なのは、APIを活用するための識別子を操作したり、認証が正しく操作されていない場合APIユーザになりすましてデータにアクセスするケースです。
その他にも、データの過度な露出や機能レベル認可の不備、一括割り当てなどによりデータ漏洩につながるリスクが存在し、セキュリティを意識せず使用していると取り返しのつかないセキュリティ事故が起こる可能性が大きいのです。
APIの初期設定では規定の時間内に受け取ることができるリクエストの数やサイズを制限していないため、DoS攻撃に対して無防備な状態であるという恐ろしい状況にもなり得るのです。
APIのセキュリティリスク
APIを利用した攻撃についてご紹介しましたが、APIを狙った攻撃で発生しうるリスクについてご紹介していきます。
情報漏洩に関しては、顧客情報以外にも公開前の商品が世に出てしまったり、製造方法が外部に漏れることで会社にとって存続不可能な事態を起こす可能性があります。情報漏えいは企業の信用問題にも関わるので、情報漏洩の度合いによっては会社継続が不能になる可能性もあります。
また、先ほど例に出したDoS攻撃に関しては、攻撃者から一斉にサーバに集中アクセスが行われ、結果的にサーバがダウンしてしまう事態が起こります。サーバがダウンすると、復旧までの時間は全く作業ができなくなり、顧客との連絡も遮断されるので被害を被ってしまうことが考えられます。
このように、セキュリティをおろそかにするということは会社のどこにも鍵をかけずに誰もいなくなることと同じであると言えます。セキュリティソフトひとつに頼っていても、これらのリスクは払拭できないのが現状です。
WAAPを使用しAPIを安全に使用する
APIの重要性がますます高まり、APIを狙ったサイバー攻撃手法も高度化しているため、APIについても専用のソリューションで対策を実施することが求められるようになりました。そこで登場したのがWAAPです。
WAAP( Web Application and API Protection )とは、世界的な市場調査機関のガートナー社が提唱する概念で、Webアプリケーション保護対策に加えAPI保護機能を備えているソリューションです。それでは、WAAPがどのような機能を有しているのかをご紹介していきます。
APIを安全に使用するためのWAAP
WAAPの主な機能は、Web Application Firewall(以下WAF)、APIセキュリティ、Bot対策、DDoS攻撃の4つを兼ね備えた次世代セキュリティ対策です。WAFに関しては近年提唱されており、SQLインジェクションやクロスサイトスクリプティングなどの脅威からWebサイトなどを守る上では欠かせないツールとなっています。
先ほどDoS攻撃について触れましたが、近年はパソコンを裏で乗っ取り、それをBotとして大量操作するDDoS攻撃という進化版がメジャーになってきております。他にも単純なBotからの攻撃にも対処できるよいうのがWAAPの機能です。
そして最後に、API対策があります。実は基本的なAPI攻撃に関しては、WAF導入で解決できると言います。しかし、WAFの主な保護対象はWebアプリケーションであり、従来のデータ通信とAPIを比較した際に、トラフィックやルールに違いがあることで検出できない場合があります。簡単に言えば、WAFでは高度なAPI攻撃に対応できていないのが現状です。そのため、APIを含んだセキュリティを考えた際にはWAAPに頼ることが一番良いと言えるのです。
WAAPで気にしたいポイント
それでは、実際にWAAPを導入する際に注目すべきポイントについてご紹介していきます。
まず第一に注目したい点は、コスト面に関してです。セキュリティシステム全般に言えることですが、とにかくコストの幅が広いのです。コストが高くなると監視できる種類や処理速度が向上しますので、セキュリティに関して分析を行う部門を持っている会社やそもそも処理するデータ量が多い場合は多少高額であっても導入すべきです。
また、中小企業に多く見られるケースは、危険なアラートがあればどんな脅威だったかを確認する程度で、さらに日常的にはそこまで処理するデータ量が少ないパターンです。この場合、高額な機器を導入してもオーバースペックとなってしまうので、そこまで求める必要はありません。ついつい勘違いしてしまいがちなのは、「安ければセキュリティに不安がないのか?」という問題です。
しかし、基本的に脆弱性と呼ばれるセキュリティの弱点が発見されると、すぐにセキュリティパッチが配布されますのですぐに対応することによって安全に保たれますし、脆弱性の問題は値段は関係ありません。
むしろ、高額であってもサポート対応がひどい場合は、極力避けた方が良いと言えます。そのため、導入する会社の規模とサポートの充実さに注目して選ぶ場合が多いです。
WAAPで防げる脅威
WAAPで防げる脅威については、WAFで防げる攻撃に加えて、APIセキュリティ、Bot対策、DDoS対策の3点となります。追加される3つの攻撃に関しては、今までと攻撃の形が異なることからWAFでは防げない事が多いのです。
日々セキュリティツールが更新されている理由にもなりますが、攻撃のプログラムを少し変えることによって侵入させてしまうケースもあるほど、セキュリティは難しいのです。少し変わったプログラムを「亜種」と呼んでブロックしておりますが、攻撃者は常にこれらを改造して攻撃してきます。
少し変わっているくらいであれば今までのセキュリティでも対応できますが、API攻撃のような根本的な攻撃構造が違ったものに対しては無防備であると言えます。そのため、WAAPの導入を検討していく必要があるのです。
WAAPで注目されるWAPPLES
WAAPを選ぶ際、最もオススメできる機種はWAPPLESです。ファイアウォール機器を操作したことのある方ならご存知かと思いますが、ネットワーク機器の知識が必要となり、さらにはセキュリティにも精通している方でなければ安全な設定を行うことは難しいです。このように、いくら機種が優れていたからといって管理者のスキルに依存しているのがセキュリティ機器の弱点です。
しかし、WAPPLESのWAAPは管理者のスキルを問わずにセキュリティを担保してくれる優れものです。自己診断機能はもちろんのこと、外部連動機能やバックアップ・リストア機能、さらにはロードバランシング機能や冗長化機能といった、ネットワークエンジニアが行なっていた仕事を簡単に行うことができるのです。
ネットワークエンジニアはそもそも人材が少ないことから、専門家がいない企業も多く見られます。そんな悩みを払拭し、APIの脅威もカバーできるWAAPLESは是非とも使いたいWAAPなのです。
WebセキュリティやAPI保護などで困っていることや悩んでいることがありましたら、ぜひ当社にご相談ください。WAF+API保護+悪性ボット対策+DDoS防御まで、Webを基盤としたシステムを守るためのトータル・セキュリティ・メソッド「WAPPLES」の詳細は下記URLにてご確認いただけます。
