Akamai Technologiesは今週、2022年のRSAカンファレンスのイノベーション・サンドボックス・コンテストでファイナリストに選出された、民間出資のアプリケーション・プログラミング・インターフェース(API)脅威検知・対応企業であるNeosecを買収すると発表しました。買収は6月に完了する予定です。共同創業者兼CEOのGiora Engel氏と共同創業者兼CEOのZiv Sivan氏を含むNeosecの従業員も、Akamaiのセキュリティ技術事業に加わる予定です。
この買収は、常時オンの検出と対応の一環としての API リスク検出と攻撃修復の重要性の高まりと、より総合的なセキュリティ プラットフォームの台頭という警鐘を鳴らす瞬間を物語っています。
後者の状況では、シスコ、チェック・ポイントなどの IT 企業は、複数のベンダーによるアプローチに代わる総合的な単一プラットフォームを提供しています。このアプローチは、特定の脆弱性に対する無数のセキュリティ ソフトウェア アズ ア サービス ソリューションに重点を置いたもので、よく知られているオランダ人の何十人もが親指で既知の漏洩を塞ぐだけで全体像に対処していないようなものです。
Akamai のアプリケーション セキュリティ担当ゼネラル マネージャー、Rupesh Chokshi 氏は、今回の買収により、Akamai に非常に必要とされていた API の専門知識がもたらされると説明しました。
参照:協調型サイバーセキュリティとは、ビジネス目標と整合したセキュリティです (TechRepublic)
「私たちは多くの点で非常に優れた能力を発揮していますが、APIインタラクションに注力していませんでした。この新機能により、異常を検知できるようになりました。なぜこれらの呼び出しが行われているのか?共有または通過するデータは何か?既知の脆弱性は何か?これで、お客様に何が起こっているのかを迅速に警告できるようになります」とチョクシ氏は述べた。
Akamaiのセキュリティ技術グループ担当エグゼクティブバイスプレジデント兼ゼネラルマネージャーであるMani Sundaram氏は次のように述べています。「企業はAPIを介してビジネスロジックやプロセスデータを完全に公開していますが、クラウドベースの経済においては、これがサイバー攻撃に対して脆弱です。NeosecのプラットフォームとAkamaiのアプリケーションセキュリティポートフォリオにより、お客様はすべてのAPIを可視化し、その動作を分析し、API攻撃から保護することができます。」
API攻撃が増加
セキュリティ企業は、APIを標的とした脅威活動の急増を目の当たりにしています。Salt Securityは3月の「APIセキュリティの現状」レポートで、過去6ヶ月間で攻撃者が400%増加したと報告しています。また、レポートでは以下の点も明らかになっています。
- 攻撃の 80% は認証された API 経由で発生しました。
- 回答者のほぼ半数が、API セキュリティは経営幹部レベルの懸念事項となっていると述べています。
- 調査回答者の 94% が、過去 1 年間に本番環境の API でセキュリティ問題を経験しました。
- 70% が、API のセキュリティ ギャップが原因で組織がデータ侵害を受けたと回答しています。
比較的単純な API 攻撃がいかに効果的であるかを示す例が 1 つあります。NCC グループは、2022 年の年次脅威モニターで、オーストラリアの通信会社 Optus が、公開された API を通じてアクセスされたデータ侵害で 1,000 万人の顧客の個人情報を漏洩したと指摘しています。
Salt Securityの共同創業者兼CEOであるRoey Eliyahu氏は、APIがデジタルトランスフォーメーションを推進し、新たなビジネスチャンスと競争上の優位性をもたらしている一方で、「T-Mobile、Toyota、Optusで最近発生したようなAPI侵害のコストは、事業運営だけでなく、新しいサービスとブランドの評判の両方を危険にさらしている」と指摘した。
Akamai のインターネットの現状レポートでは、近々リリースされる Open Web Application Security Project の API セキュリティ トップ 10 に API の脆弱性が含まれることは、API セキュリティ リスクに対する業界の認識の高まりを象徴していると指摘されています。
ソフトウェア開発のスピードが速まるとリスクも増大する
Akamai のレポートでは、API 攻撃の増加要因として 2 つの要因が挙げられています。1 つはアプリケーション開発ライフサイクルの加速化です。レポートによると、「これにより、アプリケーションの作成と本番環境への導入にかかるターンアラウンドが短縮され、安全なコードが不足する可能性がある」とのことです。
Akamai は、Veracode の Enterprise Strategy Group の調査を引用し、組織の 48% が時間的制約のために脆弱なアプリケーションを本番環境にリリースしていると回答しました (図 A )。
図A
Akamaiはまた、脆弱性の数が増加しており、深刻度「高」または「緊急」のカテゴリーに属する脆弱性の10分の1がインターネットに接続されたアプリケーションに存在していると報告しました。また、Log4Shellのようなオープンソースの脆弱性は、2018年から2020年の間に倍増したと述べています。
攻撃者は API を見ます…でもあなたは見ますか?
Akamai によれば、Neosec のソリューションは、とりわけ API の可視性を提供する。これは、組織がデジタル デッキの下に API がどこにあるのか、いくつあるのかを把握していないことが多いため、極めて重要である。
「これが最優先事項です」とチョクシ氏は述べた。「セキュリティ用語で言えば、検出と可視性です。顧客はベースラインを求めており、(APIの露出状況を)理解したいと考えているため、これは興味深い課題となるでしょう。」
大規模な組織では何千ものアプリが存在する可能性があり、すべてを一度に処理することはできないため、リスクの高い API に重点を置きたいと考えることが多いと同氏は付け加えた。
「彼らは、Google CloudのApigeeやKongのようなAPIゲートウェイ、あるいはF5のようなロードバランサーなど、様々な出口ポイントを利用しています。そのため、各エンタープライズ環境にはこうした複雑な問題がつきもので、今後はお客様と協力して解決していく必要があります。最終目標は、可視性と検出機能、そしてインテリジェンスを確立し、次に保護機能に取り組むことです。ブロック機能でどれだけ対応できるか、対応でどれだけ対応できるか、そして自動化できるか、といった点です」とチョクシ氏は述べた。
元FBI特別捜査官で、APIセキュリティ企業Nonameの公共部門プログラム担当エグゼクティブディレクターのディーン・フィリップス氏は、統合されたアプリケーションやインターフェースの数が増え続け、それが企業にとって永遠の課題となっている可視性の問題によって、リスクは倍増すると語った。
「民間のセキュリティ対策では、環境内でアクティブなAPIの30%以上がユーザーに知られていないことが判明しました」と彼は述べた。「つまり、ユーザーが気付いていないことが非常に多く発生しているのです。例えば、名前や住所だけでなく、社会保障番号や誕生日といった、アプリケーションが必ずしも必要としない、あるいは使用しない機密データの移動などです。これは大きな問題です。自分が何を持っているのか、あるいはそれが何をしているのかが分からなければ、どうやってそれを保護できるでしょうか?」
2022年にAPI攻撃インシデントが増加
Google Cloud サイバーセキュリティ対策チームの 2023 年 4 月の脅威ホライズンレポートによると、API 侵害の増加は昨年発生したインシデントの 5 分の 1 の要因でした。レポートによると、顧客がセキュリティアップグレードを遅らせた理由は、「アップグレードによって予期せぬ API の変更が発生し、アプリケーションの機能に悪影響を与える可能性がある」という懸念があったためです。
しかし、レポートによると、APIはマイナーアップグレードでは実際には変更されず、Kubernetesクラスタ全体の運用環境に対応しており、アップデートの範囲は制御可能であるという。「しかしながら、顧客はこの設定オプションを必ずしも認識しているわけではない」とレポートは述べている。
APIセキュリティへの注目の高まり
ますます多くのクラウド ネイティブ トランザクションで API が仲介役として広く利用されていることから、API セキュリティ市場はセキュリティのスーパーセットになる可能性があると Chokshi 氏は言います。
「従来のエンドユーザーやモバイルアプリケーションと比べて、自動車産業、ヘルスケア、スマートシティなどの分野では、相互作用がはるかに大きくなるだろう」と彼は述べた。
「APIがバックエンドに不可欠なビジネスも数多くあります。顧客がアプリやアカウントを開こうとすると、バックエンドでは信用調査などのアクションが行われます。クラウド経済において、サプライチェーンを含め、ますます多くのB2B取引がAPI主導になっています。API市場は全体的に急速に成長しており、それに追いつくために必要なツールが不足しています。そのため、セキュリティはさらに重要になります」とチョクシ氏は付け加えました。
フィリップス氏も、APIが活発な分野であることに同意する。「APIは白熱しており、多くの人がAPIセキュリティに取り組もうとしています。なぜなら、APIが最大の攻撃ベクトルであるという認識が高まっているからです」と彼は述べ、ガートナーは昨年までに2022年にはAPIが最大の攻撃ベクトルになると予測していたことを指摘した。「そして、私たちは驚異的な成長を目の当たりにしてきました」とフィリップス氏は述べた。
API監視がプラットフォームに加わる
アラマイの買収は、単一ポイントのソリューションから、製品からプラットフォームまで包括的なサービスへの移行に続くもので、その利点は業界コンサルタントが長年称賛してきたものである。
「ベスト・オブ・ブリードのテクノロジーとプラットフォームソリューションの間で、常に議論が交わされています」と、パロアルトネットワークスのユニット42チームのシニアバイスプレジデント、ウェンディ・ウィットモア氏は述べています。「以前はどちらか一方に絞られた議論でした。しかし、テクノロジー全般にわたり、より幅広いソリューションを提供できる当社の能力は大変魅力的であり、当社の製品の大部分はベスト・オブ・ブリードと言えるでしょう。組織にとって、小さな問題一つを解決する世界で競争するのは、より困難になるでしょう」と彼女は述べました。「万能薬などありません。現代社会はあまりにも複雑です。」
チョクシ氏は、アカマイの買収と、サイバー防御におけるセキュリティプラットフォームのアプローチにより、攻撃者が可視化ポイント(または複数のベンダーのセキュリティ製品を使用している場合はセキュリティ製品)間を移動中に迷子になることがないよう、隣接性の利点を享受できるようになると述べた。「当社は既に高いレベルの保護を提供しており、お客様は当社のポータルとプラットフォームに満足しています。そのため、今回の買収は、その継続的なサポート体制における新たな機能となります。」
フィリップス氏は、Noname社は「ブームの左」アプローチ、つまりインシデントによってAPIの脆弱性が顕在化する前に対応をシフトレフトするアプローチを採用していると述べた上で、APIセキュリティ機能を主要プレーヤーの傘下に置く統合が進むと予測している。「業界ではAPIセキュリティが成長していることが十分に認識されています。API自体は長い間存在してきましたが、脆弱性の認識は進んでいません。攻撃は増加していますが、問題はその影響がどうなるかということです。攻撃による痛みは、行動を促すほどのものなのでしょうか?」
