APIセキュリティーとは

強固なAPIセキュリティー体制により、認可されたユーザーとアプリケーションのみがAPIにアクセスできるようにすることができます。Webセキュリティーの一部として機能しますが、企業のIT管理における重要が高まっているAPIに特に焦点を当てたものです。¹

APIはデジタル世界全体のアプリケーション、サービス、システム、データベースを結びつけます。これにより、企業はオンプレミスとクラウドのデータベースを統合し、中核のレガシー・システムを最新のプラットフォームに接続し、さまざまな環境のデプロイメントを連携させることができます。また、組織が外部の開発者やパートナーにサービスを提供したり、連携を強化したユーザー・エクスペリエンスを促進したりすることもできます。

開発者は、例えば新しいアプリケーションやサービスを顧客関係管理（CRM）プラットフォーム、エンタープライズ・リソース・プランニング（ERP）、その他のシステムと接続できます。これらのシステムは異なる環境に導入されることが多く、データ同期にはAPIが利用されます。

ローコードやノーコード・ツールが普及したことで、経験の豊富な開発部門でもIT担当者でなくても、アプリの構築、APIへのアクセス、APIの管理をしやすくなりました。 ただ、APIが急増するにつれて、APIに伴うセキュリティ問題も増え続けています。ほぼすべての組織（99%）が昨年、API関連のセキュリティ問題を経験しており、セキュリティ・インシデントの3分の1以上（34%）が機密データや個人データの漏洩です。²

内部APIと外部API、およびAPIエンドポイントが侵害される可能性がありますが、外部APIは公開されているため、悪意のある攻撃者やさまざまな種類のAPI攻撃に対してより脆弱になります。Vigilant APIのセキュリティー手法により、企業において公開されたエンドポイントを保護し、企業のデータとネットワークを保護できます。

APIはあらゆるところに存在しています。2023年には平均的な企業規模のビジネスで約15億件のAPIコールが発生し、その年のAPIコールはインターネット・トラフィック全体の71%を占めました。³また、ほぼすべてのアプリケーションが少なくとも1つのAPIを使用しています。したがって、APIは現代のコンピューター・ネットワーク、クラウド・コンピューティング、SaaSデプロイメントにおける基本的要素となっています。

ただし、相互接続されている性質により、従来のセキュリティ対策では対処できないセキュリティ上の課題が生じます。APIはクラウド、オンプレミス、ハイブリッドの環境で使用されることが多く、環境ごとに異なるセキュリティ・ニーズがあります。ある環境で機能するセキュリティー管理が別の環境には使えない場合があり、適用の統一は継続する上で課題となります。

APIは、それぞれ独自のセキュリティー・プロファイルを持つマイクロサービス間の結合組織としても機能します。1つのAPIに存在する単一の弱点により、システム全体が危険にさらされる可能性があります。例えばエネルギー分野では、APIセキュリティー対策によってメーター、監視システム、保守プラットフォーム間のデータ交換を保護し、予防的な保守プログラムの完全性を確保するのに役立ちます。

さらに、大半のアプリケーションでは多数のAPIエンドポイントを使用しており、攻撃者にとっては各エンドポイントが潜在的な侵入口となります。機密情報（医療データや金融データなど）を処理するエンドポイントは特に絶好の攻撃ベクトルです。APIエンドポイントにより攻撃対象領域は大幅に拡大します。注意深く監視しないと、プライベートなデータが悪意ある攻撃者に対して無防備な状態になるおそれがあります。

また、APIはアジャイル開発とCI/CDパイプラインをサポートしているため、多くの場合、迅速に構築しデプロイできます。セキュリティがDevOpsワークフローにシームレスに統合されていない場合、セキュリティ評価やテストは開発に後れをとってしまいます。包括的なAPIセキュリティー・プロトコルを使うことで、こうした問題を最小限に抑え、軽減できます。

セキュアAPIにより、送信中や処理中のデータ操作を防ぎ、認証された正規ユーザーのみが主要な機能やデータにアクセスするようにできます。今日の複雑なコンピューティング環境において、APIセキュリティーは、信頼できるデータのやりとり、高可用性のサービス、デジタル・エコシステムにおける消費者の信頼を実現するために不可欠なツールとなっています。

セキュリティーが確保されていないAPIエンドポイントは、悪意のある攻撃者に機密データへの不正アクセスやサービス運用の妨害を許す可能性があり、深刻な結果を招く恐れがあります。一般的な脅威には、次が含まれます。

• 認証ベースの攻撃：ハッカーがユーザーのパスワードを推測、もしくは盗んだり、脆弱な認証メカニズムを悪用したりしてAPIサーバーへのアクセスを試みます。今日、サイバー攻撃の大部分（95%）は認証済みのユーザーから発生しているのです。²

• 中間者攻撃：悪意のある攻撃者がAPIリクエストまたはAPIレスポンスを傍受することで、データ（ログイン認証情報や支払い情報など）を盗んだり、変更したりします。

• コード・インジェクションとインジェクション攻撃：ハッカーがAPIリクエストを通じて、（偽の情報を挿入したり、データを削除または開示したり、アプリの機能を妨害したりするために）有害なスクリプトを送信します。こうしたスクリプトは、データの読み取りと変換を行うAPIインタープリターの弱点が露呈する攻撃です。

• セキュリティの誤設定-不十分なデフォルト設定、過度に許可されたクロス・オリジン・リソース共有（CORS）、あるいは誤った不正なHTTPヘッダーによって、機密性の高いユーザー情報やシステムの詳細が漏洩してしまうことを指します。

• サービス拒否（DoS）攻撃：多数のAPIリクエストを送信して、サーバーをクラッシュまたは速度を低下させます。DoS攻撃は、分散型サービス妨害（DDoS）攻撃と呼ばれる、複数の攻撃者から同時に行われることがよくあります。

• 壊れたオブジェクト・レベルの認可（BOLA）攻撃：サイバー犯罪者がAPIエンドポイントでオブジェクト識別子を操作して攻撃対象領域を拡大し、ユーザー・データに不正アクセスします。BOLA攻撃は、適切なオブジェクトレベルの認可チェックを実装するのが難しく時間もかかるため、特に一般的に発生しやすい攻撃です。

APIセキュリティー・テストは、攻撃者がAPIを悪用するのを防ぐために、ユーザー・アクセス制御、暗号化プロトコル、認証メカニズムといった基本的なセキュリティー対策が実装されていることを検証します。セキュリティー・テストには、稼働中のアプリケーションに対して脆弱性を実際に悪用しようとする試みや、ソースコードをスキャンして既知のセキュリティー欠陥を特定する作業がよく含まれます。セキュリティー・チームはAPIエンドポイントにさまざまなリクエストを送信し、レスポンスに脆弱性、予期しない挙動、コードの不具合がないかを確認します。

テストする脆弱性の種類に応じて、チームは手動テストを実施するか、自動のテスト・ツールに依存するか、またはその2つの組み合わせを使用するかを選択できます。

エンジニアにできることの例として、手動のペネトレーション・テスト（またはペンテスト）を行って現実世界の攻撃をシミュレートし、セキュリティー上の問題を特定することが挙げられます。セキュリティー上の弱点がアプリケーション実行時のみである場合は、稼働中のシステムでセキュリティー・テストを行える動的アプリケーション・セキュリティー・テスト（DAST）ツールを利用するかもしれません。ソースコードの欠陥や弱点をスキャンしたい場合は、静的アプリケーション・セキュリティー・テスト（SAST）ツールを活用できます。

従来、セキュリティー・テストの業務プロセスは、エンタープライズ・セキュリティー・チームが実施するペネトレーション・テストや手動スキャンに依存していました。現在、組織では多くの場合、APIセキュリティー・テストを自動化してDevOpsパイプラインに直接統合しています。手法を問わず、綿密なAPIセキュリティー・テストにより、開発者はセキュリティ・リスクを事前に突き止め、企業データが公開されたり顧客に影響を与えたりする前に対処できます。

APIセキュリティーもアプリケーション・セキュリティーもデータ・セキュリティーを保護するために設計されていますが、データ・セキュリティーへのアプローチの仕方は異なります。

APIセキュリティーは、アプリケーション・セキュリティーのサブセットであり、個々のエンドポイントを保護し、きめ細かなパーミッションでアクセスを管理することを優先し、すべてのデータ交換の保護を実現します。アプリケーション・セキュリティでは、ユーザー・インターフェースからデータ・ストレージ、バックエンド・システムまで、アプリケーション・スタック全体を保護することで、環境全体のセキュリティを確保する、より全体的な手法を採用します。

APIセキュリティーは、柔軟性とスピードを重視して構築されています。リアルタイム監視と異常検知を用いて、すべてのAPI呼び出しに対する脅威を迅速に特定し、対応します。一方で、アプリケーション・セキュリティーは、より構造的な戦略を採用します。アプリケーション全体にわたる脆弱性に対処するために、静的コード解析やセキュア・コーディングの実践といった手法を採用します。

認証については、APIでは通常OAuthやJSONウェブ・トークン（JWT）などトークンベースのメカニズムを用いています。これにより短時間で正確にリソースへアクセスできます。一方アプリケーション・セキュリティーは、ロールベース・アクセス制御（RBAC）など、より広範な制御を実装してシステムの複数層でユーザー権限を管理します。

アプリのセキュリティーは幅広い脅威に対して保護する一方、APIセキュリティーは公開されたエンドポイントを標的とする脅威に対してきめ細かく保護します。そのため、包括的なデータ・セキュリティーを実現するには、両方のツールが必要です。APIセキュリティー対策をより大きなアプリケーション・セキュリティー・フレームワークに統合することで、企業はより安全でレジリエントなソフトウェア環境を構築し、ユーザーやパートナーとの信頼を築くことができます。

ダイナミックなデジタル経済では、APIはビジネスのアジリティー確保に不可欠ですが、そのオープンな性質により、重大なデータ・セキュリティー・リスクが生じる可能性があります。APIセキュリティー侵害は、John Deere社、Experian社、Peloton社などの評判の高い大企業であっても、大規模なデータ侵害につながりました。⁴

そして、今日のグローバルなテクノロジー環境では、業界や地理的な場所に関係なく、セキュリティーの脆弱性がすべての主要なサービス・プロバイダーを脅かしています。一例として、2022年にオーストラリアの通信会社Optusに対するAPI攻撃で顧客の名前、電話番号、パスポートの詳細、運転免許証の情報が約1,000万人分流出しました。⁵ この事件はAPI保護の重要性を強調しています。

APIの不正利用の増加は、包括的なAPIセキュリティー戦略とツールの開発も加速させています。厳格なAPIセキュリティー・プロトコルを実装することで、APIエンドポイントを通じて利用可能となるデータ、アプリケーション、サービスを保護すると同時に、正規ユーザーに対する可用性も確保できます。

APIセキュリティーは、エンドポイントを保護するだけではありません。データ送信やユーザー・リクエスト、アプリケーション間通信などのネットワークの相互作用に対するセキュリティーもAPIのライフサイクル全体に渡って優先します。ITインフラストラクチャーを保護するための最も一般的なAPIセキュリティー・ソリューションには、次があります。

認証とは、ユーザー、システム、またはプロセスの身元を確認するプロセスです。APIの文脈では、OAuth 2.0、APIキー、JSONウェブ・トークン（JWT仕様）など、要求者が本人であることを確認するユーザー認証トークンおよびプロトコルを指します。

承認とは、認証されたユーザーがアクセス先を確認するプロセスです。ユーザーが認証されると、ロールベースのアクセス制御により、ユーザーのアクセスが必要または要求するリソースに厳密に制限される場合があります。

暗号化により、プレーン・テキストやその他の種類のデータが、読み取り可能な形式から、復号化キーを持つユーザーのみが復号できるエンコードされた形式に変換されます。暗号化技術（トランスポート・レイヤー・セキュリティー［TLS］、SSL接続、TLS暗号化プロトコルなど）は、悪意のある攻撃者や不正ユーザーがAPIトラフィックを傍受または改ざんできないようにするために、セキュリティー・チームを支援します。

インプットの検証プロトコルは、インプットが処理される前にその長さ、種類、フォーマット、範囲の基準を満たしていることを確認することで、SQLインジェクション攻撃やクロスサイト・スクリプティングといった悪意あるデータからAPIを保護します。ウェブ・アプリケーション・ファイアウォール（WAF）とXMLまたはJSONスキーマ検証を利用することで、セキュリティー部門は検証プロセスを自動化できます。こうすることで先手を取って受信リクエストを分析し、悪意あるトラフィックがサーバーに到達する前にブロックするのです。

レート制限は、特定の時間内でユーザーまたはIPアドレスが実行できるコール回数を制限します。これにより、ブルート・フォース攻撃やDoS攻撃からAPIリソースを保護できる仕組みです。レート制限により、すべてのAPIリクエストが迅速に処理され、ユーザーがシステムに有害なリクエストを大量に送り込むことがなくなります。

レート制限と同様に、スロットリングはシステムが受信するAPI呼び出しの数を制限します。ただし、スロットルはユーザー/クライアント・レベルで動作するのではなく、サーバー/ネットワーク・レベルで動作します。スロットル制限とクォータは、APIが1秒あたりに受信できる呼び出しとメッセージの数を制限することで、APIバックエンドの帯域幅を確保できます。

セキュリティ・ヘッダーは、クリックジャッキング攻撃（悪意のある攻撃者が実行可能なコンテンツの下に悪意のあるハイパーリンクを偽装して、ユーザーをだまして意図しないサイトとやりとりさせる）対策に特に効果的です。

例えば、「content-security-policy」ヘッダーは、サーバーからどのリソースを要求できるかをブラウザーに対して指示します。「x-content-type-option」ヘッダーは、ブラウザによるコンテンツ・タイプのMIMEスニッフィングを阻止し、「strict-transport-security」ヘッダーはサーバーへの安全な接続（HTTPではなくHTTPS）を強制します。

APIゲートウェイにはAPIアクセス用の集中型インターフェースがあるので、システムが受信するすべてのAPIリクエストの単一エントリー・ポイントとして機能します。特にオープンAPIでは、組織がAPIアクセスを管理し、ネットワーク・セキュリティーの層を追加するのに役立ちます。APIゲートウェイはAPIのインタラクションを標準化し、キャッシュ、分析、APIコンポジション、レート制限、暗号化、ロギング、アクセス制御などの機能を提供できます。

ただし、APIゲートウェイは単一障害点でもあり、アーキテクチャーにさらなる複雑性が生じます。

包括的な最新の監査ログを管理（多くの場合レビューも実施）することで、組織はデータ・アクセスと使用状況を追跡し、すべてのAPIリクエストを記録できます。APIエコシステムの複雑さを考慮すると、APIのアクティビティーを常に把握し続けるに非常に労力がかかる場合がありますが、データ侵害やコンプライアンス違反後にチームが手順を再追跡する必要がある場合は、監査とログの手順を行うことで時間を節約できます。

API環境でのプロアクティブなエラー処理により、サイバー犯罪者がAPIプロセスに関する機密情報を漏らすことを防ぐことができます。理想的には、APIエラーは、エラーの性質を大まかに示すHTTPステータス・コードを返し、過剰なデータ侵害の危険を冒さずにチームが問題を理解し、対処するための十分なコンテキストを提供します。

他のソフトウェア・アプリケーションやシステムと同様に、APIセキュリティーを維持するには、注意深くリアルタイムの監視と保守を行うことが不可欠です。異常なネットワーク・アクティビティに常に注意し、最新のセキュリティ・パッチ、バグ修正、新機能でAPIを更新することが重要です。

企業では、Open Web Application Security Project（OWASP）のAPIセキュリティーおすすめ情報のような、タイムリーなセキュリティ標準規格を採用する必要もあります。例えば、OWASP APIセキュリティ・トップ10リストは、認証の失敗、一括割り当て、サーバー側のリクエスト・フォージェリなど、最も重要かつ一般的なAPIセキュリティーの脅威を理解し、軽減するためのフレームワークを提供します。

APIソフトウェアのすべての新しいバージョンには、以前のバージョンにあったセキュリティー・ギャップを補うセキュリティー・アップデートとバグ修正が施されています。しかし、適切なバージョン管理を実践しないと、ユーザーが誤って（または意図的に）APIの古いバージョンをデプロイし、機密データが危険にさらされる可能性があります。

注意深いバージョン管理とドキュメンテーションの実践により、企業はAPI開発を加速できます。これにより、サービスを中断することなく古いバージョンのAPIを段階的に廃止し、より新しく安全なイテレーションにユーザーを誘導できます。

例えば、チームがAPIのv1でセキュリティー上の欠陥を発見した場合は、v2で修正できます。また、バージョン管理により、セキュリティーチームは、v1に既知のセキュリティー脆弱性があることをバージョンのドキュメントで明確にしながら、ユーザー自身のペースでv1からv2に移行することを奨励できます。

セキュリティー・テストでは、開発者はAPIクライアントを使用して標準リクエストを送信し、システム応答の品質と正確さを評価する必要があります。定期的なセキュリティー・テストを実施してセキュリティー・ギャップを特定することで、チームは攻撃者が悪用する前にAPIの脆弱性を修正できます。

ゼロトラストのセキュリティー手法は、組織の内外を問わず、いかなるネットワーク・トラフィックも自動的に信頼すべきではないという原則に基づいて運用されます。ユーザーとデバイスはデフォルトでどちらも信頼できないものと見なされます。そのため、トラフィックがネットワークに入ったり動き回ったりする前に、ユーザーの認証情報が本物であることを完全に証明する必要があります。

ゼロトラスト・アプローチにより、攻撃者が以前に承認されたデバイスで正当なユーザーになりすまそうとした場合でも、企業はデータとAPIを保護して、許可された個人のみがアクセスできるようにします。

APIを保護することは、ITインフラストラクチャーの健全性とデータ・セキュリティーにとって極めて重要です。APIの利用と分散が既存のAPI管理ソリューションに課題を突きつける中で、APIセキュリティーは今後数年間にわたり、重要な注力分野であり続けると見込まれます。

例えばオープンソースAPIやノーコードAPIの急増により、正式な監視を受けずに動作するシャドーAPIによるセキュリティー・リスクが増大しています。この問題に対処すべく、セキュリティー部門は新たに出現するAPIの脅威からデータを保護する目的で、より徹底したAPIインベントリー、ドキュメンテーション、ガバナンス、多要素認証の手法を採用しています。

セキュリティを重視する企業は、次のようなことにも投資しています。

APIゲートウェイの強化は、ソフトウェア開発者にとってますます重要な優先事項となっています。⁶APIエンドポイントがAPI内の特定のインタラクション・ポイントであるのに対し、APIゲートウェイはすべてのAPIリクエストに対する集中型のアクセス・ポイントです。APIゲートウェイは、GraphQL、REST API、SOAP APIを含むさまざまなAPIプロトコル、言語、スタイルに対するプロトコル変換サービスを提供し、呼び出しをバックエンド・サービスにルーティングします。

最新のAPIゲートウェイには動的なレート制限と脅威検知機能がついており、今日のクラウドネイティブ・アプリの導入やマイクロサービス主導のIT環境に対してAPIセキュリティーのレイヤーを追加できます。

デジタル・イノベーションへの対応を目指す企業は、人工知能（AI）や機械学習（ML）などの技術を組み込んだAPIセキュリティーのアプローチも採用する必要があります。AIとMLを活用したセキュリティー機能は、APIコール内の異常なデータ・パターンを検出することで脅威を予め特定できます。このようなツールは、脅威の進化に応じて脅威検知と対応プロトコルを適応させることもできます。

一例として、AIで強化されたセキュリティー対策では、セキュリティー・ツールがコンテキストと行動バイオメトリクスに基づいてデータ精査を自動的に調整する適応型認証を実装できます。

企業は、APIとの通信を試みるあらゆるデバイスやユーザーに対して強固な承認と認証の実践を重視するゼロトラスト・アーキテクチャーの導入をますます進めています。ゼロトラストAPIセキュリティーの原則は、脆弱な公開APIおよびエンドポイントの保護に特に役立ちます。⁷

エージェント型AIは、AI技術の自律的な能力を次の段階へと引き上げます。大規模言語モデル（LLM）、自然言語処理（NLP）、および機械学習（ML）を活用し、人間のユーザーや他のシステムに代わって自律的にタスクを実行します。しかし、AIエージェントはデータにアクセスするためにAPIに依存しているため、APIセキュリティーとエージェント型AIのセキュリティーは切っても切り離せない関係にあります。

開発者がエージェント型AIイノベーションを継続的に採用するにつれ、AIエージェントがもたらすセキュリティ・リスクと戦わなければなりません。これに対応して、多くの企業はAIエージェントに高度な監視、分析、ブロック機能を持たせ、エージェント自身と、それがやり取りするAPIの両方をサイバー攻撃から保護しています。

将来に向けた包括的なAPI保護を実現するには、ベンダーやAPIセキュリティーの専門家との戦略的パートナーシップも不可欠です。戦略的な連携により、企業はAPIの検出や脅威の検知からランタイム分析やインシデント対応まで、APIセキュリティー・プロセスのすべての段階を網羅できるようになります。

データ共有パートナーシップでは、プラットフォーム間でのセキュリティ・データの交換を優先します（脆弱性の詳細や脅威インテリジェンスの共有など）。この交換により、情報が統合され、企業はAPIセキュリティ体制を明確かつ統一して把握できます。また、アライアンス・パートナーシップにより、個々のセキュリティー・エンティティーは独自の強みと補完的なテクノロジーを統合して、セキュリティ管理を効率化し、共同開発を促すことができます。 このような戦略的パートナーシップにより、企業間でセキュリティの専門知識を共有でき、より回復力のあるデジタル・サービスをユーザーに提供できます。

APIが新たなネットワークの機会を拓きつづけるにつれて、それに関連するリスクも（場合によってはさらに速く）進化するでしょう。エンタープライズAPIセキュリティーに積極的に取り組むことで、企業は機密データを保護し、脅威の状況の変化に応じてセキュリティー体制を強化できる、機敏なセキュリティー戦略を策定できます。