情報過多とデータ伝送の高速化の時代では、個人情報(PII)、医療記録、金融取引、ライフスタイルの消費詳細など、膨大な機密データがオンラインで共有され、流通し続けています。この膨大なデータは、何億人ものインターネットユーザーのプロフィールを概説するのに十分であり、このデータを効率的に伝送できる重要なチャネルは、 API.
長い間忘れ去られ、放置された API は、しばしば「ゾンビ API」と呼ばれます。セキュリティ担当者や保守担当者に気付かれないため、脆弱性が未修正のままになっていることがよくあります。サイバーセキュリティの分野では、これらのゾンビ API は、システムへの侵入を企む攻撃者の侵入口となることがよくあります。
機密APIデータの保護に必要なもの
データはデジタル経済と情報社会の中核となるリソースであり、国家統治、経済活動、そして私たちの日常生活に大きな影響を与えています。データはその流れ、共有、処理、取り扱いを通じて価値を生み出しますが、この価値創造はデータセキュリティの確保に依存しています。 調査によると、APIはインターネットトラフィックの83%以上を占めています。つまり、インターネット データのセキュリティは、API のセキュリティに大きく依存していることになります。
幸いなことに、世界中の国々や業界では、市民のオンライン上のプライバシー権を完全に保護するための明確なデータセキュリティ要件が確立されています。カリフォルニア州消費者プライバシー法 (CCPA)' 'の個人データ保護法 (PDPA)、' そしてその 'EU一般データ保護規則(GDPR)' はデータセキュリティをより高い戦略的優先事項に引き上げました。
完全な API 可視性がセキュリティにとって重要な理由
2022年第1四半期版によると、 Salt Labs API セキュリティの現状レポート回答者の 43% が、ゾンビ API を API セキュリティ上の最大の懸念事項として挙げており、アカウントの乗っ取りや不正使用に関連する問題を大幅に上回っています。さらに、回答者の 83% が API インベントリの完全性に疑問を表明しています。
なぜ企業はゾンビAPIとAPIインベントリの完全性にそれほど懸念を抱いているのでしょうか? セキュリティリスクは多くの場合「未知」に潜んでいます。ゾンビAPIは、 シャドウAPI、機密データの漏洩はすべて、API 資産の全体像に対する理解不足から生じます。忘れられた API 資産は制御が難しく、パッチが適用されていない脆弱性が攻撃者を引き付けることがよくあります。
調査によると、ゾンビ API に対する企業の認識は高まっていますが、ゾンビ パラメータの隠れたリスクを見落としているケースが多いようです。完全に忘れ去られたゾンビ API とは異なり、これらのゾンビ パラメータは現在使用および保守されている API 内にまだ存在する可能性があります。
一般的なゾンビ パラメータには、開発およびテスト中に使用されるデバッグ パラメータやシステム属性パラメータなどがあります。これらのパラメータは、インターフェイスが稼働するとユーザーには公開されませんが、攻撃者は、たとえばバッチ割り当てなどの脆弱性を利用して不正な応答を取得するなどして、これらのパラメータを悪用することができます。これらの未知の API 脆弱性が悪用されると、コア ビジネス データなどの機密情報が侵害される可能性があります。
従来のAPIゲートウェイ管理モデル
「既知の」ものだけでなく、API 資産全体を効果的に管理するにはどうすればよいでしょうか。従来、これは API ゲートウェイを介して資産を管理および更新することで行われていました。ビジネス開発者は、開発中に新しい API をゲートウェイに速やかに登録し、コンテンツが変更されたときに API 定義を更新する必要があります。このアプローチは完全に手動管理に依存しており、資産インベントリの正確性と適時性に影響を及ぼします。
企業が急速に成長するにつれて、開発者は絶えず変化する市場に対応するために、より多くの機能を提供し、リリース速度を加速する必要があります。これにより、多数の新しい API バージョンが作成され、開発者に日常的なメンテナンスに対する高い要求が課せられます。手動メンテナンスが遅れると、ゾンビ API やゾンビ パラメーターなどの問題が蓄積され、メンテナンスの難易度が高まります。
セキュリティ担当者は通常、セキュリティ上の理由から忘れられた API やシャドー API に焦点を当てますが、API ゲートウェイはビジネス部門によって保守される点に留意することが重要です。つまり、セキュリティ担当者が実施する API セキュリティ対策は、ビジネス担当者が実行する資産保守に依存しており、部門間のコラボレーションの効率性を妨げる要因となることがよくあります。
API 資産の管理とセキュリティコラボレーションの強化に向けた最新のアプローチ
API資産管理において、セキュリティ部門とビジネス部門の連携のバランスを取りながら、手作業によるメンテナンスの高額なコストを削減し、資産の精度と有効性に対するリスクを軽減するにはどうすればよいでしょうか。従来のAPIゲートウェイ管理モデルはもはや効果的ではありません。新しい管理モデルが必要です。 CDNetworks API シールド.
API Shield は、API アセットをより効率的かつ安全に管理するための堅牢なソリューションを提供します。トラフィック データ分析を活用して、既存のユーザー展開アーキテクチャを変更することなく、API アセットをリアルタイムでインベントリします。API セキュリティを強化する仕組みを詳しく見てみましょう。
完全に自動化されたリアルタイム API 資産管理とインベントリ
- トラフィック データ分析を使用すると、既存のユーザー展開アーキテクチャを変更することなく、API アセットをリアルタイムでインベントリできます。
- API リスト、パラメーター、呼び出しメソッドなどを含む包括的な API アセット インベントリを自動的に整理します。
- CDNetworks の定義済み API トラフィック リクエスト特性と機械学習ベースの API トラフィック ベースラインを組み合わせることで、トラフィック内の API リソースを継続的にキャプチャできます。
- さまざまな API アーキテクチャ スタイルと特性を抽出し、トラフィック識別エンジンを通じて API アセット リストをすばやくキャプチャします。これには、API ゲートウェイからの API リスト、ローカル ドキュメント、さらには忘れられたり非アクティブ化されたゾンビ API も含まれます。
- 完全な API アセット リストをさらに分析して、リクエストの傾向、応答ステータス、呼び出し方法などのインターフェースのアクティブ ステータスを表示し、API アセット リストを明確かつ理解しやすいものにします。
- API パラメータ アセット インベントリ: キャプチャされた API リストについて、ユーザー データ転送のベースラインを確立し、必要なパラメータ名、位置、タイプ、およびそれらが必須かどうかを識別します。さらに、リクエスト ボディのデータ構造を抽出します。
これらの方法を使用することで、企業はすべての API アセットとパラメータの包括的なインベントリを確保できるため、攻撃者が作成したゾンビ パラメータや悪意のあるパラメータを見逃すことは不可能になります。
API 管理の最適化: 重複するエンドポイントを折りたたんで効率を向上
api/test/111、api/test/112 などの API エンドポイントは、多くの場合、固定パス パラメータのみが異なる非常に類似したパスを持ち、その数は数百または数千に上ります。これらの重複する API エンドポイントが統合されていない場合、API アセット リストが膨大になり、データの冗長性や管理の難しさが増し、手動検証が困難になる可能性があります。
API アセット検出プロセス中、CDNetworks はこれらの重複度の高い API エンドポイントを継続的に分析し、API アセット リストを統合し、パス内の変数をパス パラメータとして標準化します。このアプローチにより、後続の保護モジュールはパラメータ コンプライアンス チェックをより効率的に実行できます。
データプライバシーの確保: 機密データの露出の特定と管理
送信中、さまざまな種類の機密データが急速に流れます。これらのデータの一部は必要ですが、他の機密データは過度のインターフェース露出により不必要に露出される可能性があります。機密データ露出インベントリを実施することで、これを防ぐことができます。CDNetworks 機密データ識別エンジンは、ID 番号、電話番号、銀行カード番号などのデータを認識して、リクエストおよび応答データ内の機密情報をリアルタイムで識別できます。これにより、API 機密データの全体的な状態の統計分析と評価が可能になります。
これにより、企業は、どの API が機密データを公開しているか、公開されているデータの種類、機密レベルを特定できます。詳細な公開インベントリと分析を通じて、企業はデータ漏洩のリスクに効果的に対処し、見落とされた脆弱性を回避できます。
自動化された API 資産インベントリから API パスの正規化、機密データ公開インベントリまで、CDNetworks API Shield は API 資産に関する包括的な知識、可視性、制御を保証します。
