APIの乱用とセキュリティリスクの関係

ここでは「API」について、その役割や特徴、APIの乱用によってもたらされる懸念などに迫っています。最近ではAPI悪用のセキュリティリスクが高まっていることから、その対策についても詳しく紹介しています。

APIとは

APIは「Application Programming Interface（アプリケーション・プログラミング・インターフェース）」の頭文字からなる言葉で、一言で言うと「ソフトウェアやプログラムとWebサービスをつなぐ接点」のことです。

あまりピンと来ない場合でも、XがまだTwitterという名称だった頃、突然APIが遮断されて多数のサービスが終了したことは記憶に残っているのではないでしょうか。

APIはユーザーの多くがあまり意識していないところで非常に幅広く多様に用いられています。

とても利便性が高い反面、膨大な量の情報にアクセスできるAPIは、同時にセキュリティリスクも高い傾向にあります。

API悪用のセキュリティリスクが増大している

ラドウェア株式会社が行っているRADWARE RESEARCHでは、APIを介したWebアプリケーションによる使用頻度の高さと同時に、トラフィックの増加が懸念されています。
APIへ依存とともにセキュリティリスクも上昇するため、今後のAPIに対して企業は優先的にセキュリティ対策を講じるべきとRADWARE RESEARCHでは結論づけています。

APIセキュリティは遅れている

ボットトラフィックへの課題

ボットトラフィックの適切な管理は、APIセキュリティに関する課題の1つです。
ボットトラフィックでは自動化されたプログラム（ボット）がトラフィックをWeb サイトへと送信し続けます。
対策としてはWebアプリケーションファイアウォール（WAF）がAPIへの攻撃を検出して防ぎ、また、ボット管理ツールなどを活用してボットを管理する必要があります。

サードパーティを活用したモバイルアプリ

RADWARE RESEARCHでは組織の約4割において、APIを介し、アプリの半分以上がネットやサードパーティ（オリジナルの製品やソフトウェアと互換性を持つアプリなど）のサービスにさらされているとの調査結果が出ています。

前述した旧TwitterのAPI遮断によって数多くのサードパーティがサービスを終了したことからもわかる通り、現在でも1つの製品やソフトウェアに対し複数のサードパーティが存在しています。

そして、サードパーティを活用した重要な役割を持つモバイルアプリが登場していることもあることや、モバイルアプリ自体がサードパーティによって開発されていることから、より高度なAPIセキュリティが求められる時代になってきています。

API悪用への対策

API悪用については、セキュリティを高めることも大切ですが、そもそもAPIを乱用しないことも対策として重要です。

また最も重要と言われていることの1つに認証と認可をがあります。APIがリクエストされたら、そのユーザーやシステムの IDをチェックし、アクセスに必要な権限を保有しているかを確認する必要があります。

その上で、APIの悪用に備える次のような対策が求められます。

APIレート制限

API悪用を防ぐためにはレート制限も有効です。レート制限とは一定期間内のリクエスト数を制限することで、過剰な送信を防止し、アクセスに過負荷をもたらすDDoS攻撃などをブロックします。

暗号化

APIを通じて送信されるデータを暗号化することも、不正なユーザーやシステムによる干渉が行われなくなるのでセキュリティ対策として有効です。

ロギングと監視

APIリクエストの応答によるログを残すロギングや、追跡を可能とする監視もAPI悪用を防ぐ手段となります。
リアルタイムで監視することで、Webサイトへのアクセスにおける異常な行動、疑わしい活動などを検知し、対応できるようになります。
また、APIリクエストを行っているIPアドレスを追跡し、特定してブロックすることもできます。

APIセキュリティへの意識を高めてトラブル回避

Webアプリとサービスの架け橋のような役割を果たしているAPIが狙われてしまうと、両者の情報へと多大な悪影響を与えかねません。
Webアプリとサービスのセキュリティを重視するだけでなく、APIの乱用に注意し、セキュリティリスクを抑えていきましょう。