アプリケーション プログラミング インターフェイス (API) は、今日競争力を維持しようと努めている企業にとっての生命線となっています。ただし、この革新に伴い、API に関連するセキュリティ問題という暗い側面も生じます。これらの問題は、アプリケーション開発などの通常の業務運営にも混乱をもたらしました。からのデータによると、 2022 年の Web アプリケーションと API 保護の現状 CDNetworks のレポートによると、API に対する攻撃が大幅に増加し、2022 年には 58.4% に達しました。
シャドウ API とゾンビ API は、API に関連する 2 つの問題であり、デジタル インフラストラクチャでは検出されない可能性があります。シャドウ API は適切な監督なしに作成されることが多く、セキュリティとコンプライアンスのリスクをもたらし、機密データを危険にさらし、組織をサイバー脅威に対して脆弱にする可能性があります。一方、ゾンビ API は時代遅れで放棄された API であり、放置するとサイバー攻撃の入り口になる可能性があります。
Shadow API と Zombie API とは何ですか?
シャドウ API は、運営されている組織によって管理または保護されていない、無許可または文書化されていない API です。これらは多くの場合、アプリケーション開発中または他のビジネス機能の実装中に開発者またはチームによって作成されます。これらの API は、IT 部門やセキュリティ部門からの適切な監視や承認なしに動作するため、公的監視や管理から隠され、影の中に残ります。したがって、たとえ悪意のある目的で使用されなかったとしても、シャドウ API は組織のデータのセキュリティと整合性に対して重大なリスクを引き起こす可能性があります。
一方、ゾンビ API は、組織のデジタル環境内に残る、時代遅れ、放棄された、または非推奨の API です。これらはすでに特定され、管理されている可能性がありますが、アクティブな使用やメンテナンスが行われていないため、時間の経過とともにセキュリティ上の責任が生じる可能性があります。ゾンビ API には、気づかれずにパッチも適用されていない脆弱性が存在する場合があり、攻撃者がその脆弱性を悪用して不正アクセスを取得したり、サイバー攻撃を仕掛けたりする可能性があります。 Zombie API は、悪意のある攻撃者が組織のシステムに侵入するためのバックドアを開く可能性がある忘れられたゲートウェイであると考えてください。
シャドウ API とゾンビ API はビジネスにどのような損害を与える可能性がありますか?
シャドウ API の存在は、データ侵害、コンプライアンス違反、運用の中断につながる可能性があります。これらの API は公式の IT フレームワークの外側で動作するため、多くの場合、適切な認証、認可、暗号化メカニズムが欠如しています。そのため、サイバー攻撃、データ漏洩、不正アクセスに対して脆弱になります。たとえば、2022 年 6 月には、 継続的インテグレーション開発ツールである Travis CI が API 侵害に見舞われた これにより、誰でも会社の平文履歴ログにアクセスできるようになりました。その結果、同社は 73,000 個のトークン、アクセス キー、その他のクラウド サービス資格情報を含む 7 億 7,000 万件を超えるユーザー ログ データの侵害に見舞われました。同様の API 侵害事件が次の場所で報告されています。 2022 年 3 月の Hubspot、160 万人のユーザーと他の企業の機密データが流出しました。 ペロトン と エクスペリアン.
また、横方向の移動の問題もあります。シャドウ API が、組織のネットワーク内の他の、おそらくより機密性の高いシステムやアカウントにアクセスするためのエントリ ポイントとして機能することになります。最後に重要なことですが、規制当局はコンプライアンス違反に対して組織に罰則を科す可能性もあり、その結果、高額な罰金が科せられ、企業の評判が損なわれることになります。
ゾンビ API は、現在では積極的に使用されていないため無害であるように見えるかもしれませんが、時限爆弾となっています。攻撃者はこれらの忘れ去られた API の脆弱性を特定して悪用し、データ侵害、システム侵害、金銭的損失を引き起こす可能性があります。による Postman State of the API 2023 調査、全回答者のうちほぼ 60% がゾンビ API を懸念していました。ゾンビ API が存在すると IT 環境が乱雑になる可能性があり、ビジネス運営に不可欠なアクティブな API の管理とセキュリティを確保することが困難になります。
シャドウ API とゾンビ API を識別する方法は?
シャドウ API を識別できるようにするには、ネットワーク トラフィック、特に API 呼び出しを追跡する必要があります。ここでは、シャドウ API を発見するのに役立ついくつかの基本的な手順を示します。
- ネットワークを監視します。 ネットワーク監視ツールを実装して、異常なトラフィック パターンや不正な API 呼び出しを検出します。公式ドキュメントの一部ではない API エンドポイントを探してください。
- ログ分析を実行します。 ログとアクセス記録を分析して、文書化されていない API から発信されたリクエストを特定します。異常なアクセスまたは認証されていないアクセスは、シャドウ API の存在を示している可能性があります。
- プラットフォームとドキュメントを確認します。 コラボレーション プラットフォーム、開発リポジトリ、ドキュメントを定期的に確認して、適切な承認やドキュメントなしで作成された API を見つけてください。
- セキュリティ監査を実施します。 定期的なセキュリティ監査と侵入テストは、悪用に対して脆弱な可能性がある隠れた API を発見するのに役立ちます。
ゾンビ API は基本的に組織内で「忘れられた」API であるため、ゾンビ API を特定するための鍵は、使用されているすべての API のインベントリを徹底的に保持し、維持することです。これらの重要な衛生手順から始めてください。
- API カタログを保守します。 組織内のすべての API の包括的なインベントリを維持します。このリストをアクティブな使用状況データと比較して、使用されなくなった API を特定します。
- 使用状況メトリクスを追跡します。 API の使用状況のメトリクスとトラフィック パターンを監視します。 API が長期間にわたってアクティビティをほとんどまたはまったく示さない場合、ゾンビステータスの候補となる可能性があります。
- API ドキュメントと履歴を確認します。 API ドキュメントと開発履歴を確認して、非推奨または放棄された API を特定します。 API が使用されなくなったことを示すメモやコメントを探してください。
- 依存関係分析を実行します。 API とアプリケーション間の依存関係を分析します。特定の API に依存するアクティブなアプリケーションがない場合、それはゾンビである可能性があります。
シャドウ API とゾンビ API のリスクを軽減するにはどうすればよいですか?
API を頻繁に使用する場合は、シャドウ API の影響を最小限に抑えるための強力な保護手順とツールが必要になります。これを行う方法には次のようなものがあります。
- API ガバナンス: 明確な API ガバナンス ポリシーと手順を確立します。新しい API を作成する前に開発者に承認を得るように要求し、すべての API が文書化され承認されていることを確認します。
- 定期的な監査を実施します。 API を定期的に監査およびテストして、期待される結果と一致していることを確認することが重要です。リリース前や機能テストの合間など、オーディオを開発サイクルの一部にします。自動ツールは、事前定義された基準に基づいてシャドウ API にフラグを付けるのにも役立ちます。
- 認証と認可: すべての API に対して強力な認証および認可メカニズムを適用します。 API キー、OAuth、またはその他のアクセス制御方法を実装して、不正アクセスを防止します。
- トレーニングと意識向上: シャドウ API に関連するリスクと、会社のポリシーとセキュリティ標準に準拠することの重要性について開発チームを教育します。
また、Zombie API の影響を軽減するには、次の手順を実行できます。
- ゾンビ API を非推奨にします。 インベントリを実行してゾンビ API を見つけた場合は、それらが将来危険をもたらさないように、必ず非推奨にしてください。
- 時間どおりにユーザーに警告します。 また、API の現在のユーザーに明確な警告を与え、混乱を最小限に抑えて移行できるようにすることも重要です。非推奨の厳格な期限を設定し、すべての顧客と API コンシューマに通知します。
- 必要に応じて、置換 API を作成します。 まだ API に依存しているユーザーがいる場合は、非推奨期限までに代替版を公開するようにしてください。新しい API が将来的に潜在的なセキュリティ リスクを引き起こさないようにしてください。
- ドキュメントの更新: API ドキュメントを正確かつ最新の状態に保ちます。誤って使用されないように、非推奨または廃止された API を明確にマークします。
- 定期的なクリーンアップ: 定期的なクリーンアップとメンテナンスのアクティビティをスケジュールして、ゾンビ API を削除またはアーカイブします。これらのアクティビティが組織の API ライフサイクル管理プロセスの一部であることを確認してください。
CDNetworks がシャドウ API とゾンビ API を保護する方法
CDNetworks は、最先端のビッグデータ分析と AI テクノロジーを活用して、デジタル エコシステム内に潜むシャドウ API とゾンビ API を自動的に検出します。の API Shield - API保護 CDNetworks のソリューションは、API プライバシーを定義および管理するだけでなく、未知の API リソースを検出するための API インベントリ管理や API Discovery などの多数の機能を統合します。このプロアクティブなアプローチにより、隠れた脅威が見逃されることがなくなり、API ランドスケープの包括的なビューが提供されます。
API Shield は、CDNetworks のグローバルに分散された PoP に展開されており、疑わしい API リクエストをブロックしたり、他の事前対応策を講じたりする前にリアルタイムで検出できます。また、クラウドベースのビッグデータ分析プラットフォームと高性能分析クラスターを使用して、ログ ファイルを調べて傾向とパターンを見つけ、セキュリティを向上させます。