ブログ

API の姿勢について尋ねるべき 15 の質問

チャック・ヘリン サムネイル
チャック・ヘリン
2024 年 11 月 1 日公開

今日は皆さんに秘密をお話ししたいと思います。 過去 20 年間に私が務めた最高情報セキュリティ責任者 (CISO) の役職は 6 つありますが、情報漏洩を理由に私を採用したのは 1 つだけです。 1つ。 

残りの 5 人は人員削減によるか、主要利害関係者の信頼を失ったために現職者が交代した。 実に半数が、違反ではなく信頼の喪失により交代した。

CISO が API 環境を理解する必要がある理由

API セキュリティの分野では、CISO が API の露出を理解する必要性を、いくつかの宣言文にまとめることができます。 

まず、特定の環境に対する脅威モデルを作成するには、資産、アクター、インターフェース、アクションの 4 つの点を知っておく必要があります。 言い換えれば、「誰が、何に対して、何を介して、何をしているのか?」

2 番目に、API の「I」は「インターフェース」です。 applicationプログラミング インターフェイスは、複数のプラットフォーム、言語、フレームワークで広く使用されており、最近のソフトウェア開発のほぼすべてが API ファーストです。 あなたの環境には API があることが保証されています。 

3 番目に、CISO として、社内であれ Web やモバイル アプリであれ、機密データを公開および提供するインターフェースのインベントリを持っていない場合、脅威モデルが不完全になり、サービスとデータが公開される盲点が生じます。 

最後に、不完全な脅威モデルには、包括的なセキュリティ監視としかるべき注意の実施が欠けています。これらは、監査人や規制当局が確実に実施する責任がある 2 つの重要な領域です。 特定の環境内の資産、アクター、インターフェース、アクションが理解され、管理されていることを確認するのは彼らの責任です。 

APIセキュリティのリスクを評価する

F5 では、お客様が常に最も賢い人々であることを望んでいます。そのため、API エコシステムの現在の状態を評価するために使用できる簡単な質問リストを作成しました。 今これらの質問に答えておくことで、後で現地試験や外部監査の際に質問された場合に備えることができます。 

私は個人的に、これらの質問を複数の機関の規制当局や検査官と共有しました。 今、米国は 連邦通信委員会は API の問題に対して罰金や同意判決を発行し始めており、現在のバージョンの PCI DSS (Payment Card Industry データ セキュリティ Standard) 4.0+ では開発において特に API コンプライアンスが求められているため、防御側がこれらの答えを手元に用意しておくには今が絶好の機会です。 

すべての質問に答えられなくても、自分の立場を認識し、積極的な姿勢を示すことは、CISO にとって極めて重要です。 API セキュリティ体制を十分に理解し、進化させていることを示すことで、これまで懸命に努力して獲得してきた信頼を維持できます。 

最も簡単なものから最も難しいものまでのリストを以下に示します。 リストの一番下までたどり着くのが難しい場合は、F5 アカウント チームにお問い合わせください。 私たちがお手伝いします。

  1. 弊社の API セキュリティは誰が管理していますか?
  2. API には所有者が割り当てられていますか?
  3. 収益のうち API 経由の収益はどのくらいですか?
  4. API はいくつありますか?
  5. これらのうち、実際に使用されているものはいくつあり、使用されていないものはいくつありますか?
  6. 最も一般的な API の問題トップ 10に対して脆弱なのはいくつありますか?
  7. 侵入テストは、運用環境における API の脆弱性とビジネス ロジックへの攻撃を適切にカバーしていますか?
  8. 当社の API のうち、法律または規制の遵守を条件としてデータを送受信するものはどれですか?
  9. 悪意のあるトラフィックが見られますか? どの API エンドポイントですか?
  10. 全体的な API セキュリティ リスクは何ですか? 昨年の同時期と比べて改善されましたか、それとも悪化しましたか?
  11. 他の開発チームよりも API の問題を多く発生させる開発チームはありますか? API セキュリティの問題について、どのようにトレーニングを受け、フィードバックを受けるのでしょうか?
  12. コードや API の変更を本番環境に移行する前に審査するプロセスはありますか?
  13. 当社の API に対して検出されたセキュリティ イベントに関するアラートを受け取るのは誰ですか?
  14. 運用 API の 1 つに対して破損したオブジェクト レベル認証 (BOLA) 攻撃が検出された場合の平均応答時間はどのくらいですか (分単位)?
  15. 最後に、リストの一番上にある基本に戻りますが、API セキュリティを所有していると思われる人々は、自分たちがそれを所有していることを認識しており、同意しているでしょうか?

セキュリティ体制の強化

API 環境と API がもたらす潜在的な脅威を評価することは、盲点を明らかにし、セキュリティ体制を強化するための第一歩です。   

今週、カリフォルニア州サンタクララで開催されるAPI Worldで F5 にご参加いただき、API に関するあらゆることを学んでください。 私は木曜日午後1時(太平洋標準時)に同僚2名とともに公開セッション「AIの世界はAPIの世界です」で講演します。 「最新の最新アプリのセキュリティ保護」というセッションが 11 月 14 日木曜日午後 1 時にオンラインで開催されます。 

F5は仮想セッション「API CTF: 11月12日火曜日午前9時より、「APIセキュリティの基礎を学ぶ」というセッションを開催します。 

API World には行かないのですか? API セキュリティ デモをご覧ください。