コラム
「APIエコノミー」に迫る“検知できない脆弱性攻撃”の脅威:「見えないWeb攻撃」──情報漏えい対策の盲点(4/4 ページ)
APIが個人情報や機密情報の窃取や、アカウントの乗っ取りなどサイバー攻撃の格好の標的になっている。その傾向や対策、落とし穴をAkamai Technologiesの中西一博氏が解説。
セキュリティ戦略の転換 “攻撃検知”から”予防”へ
千差万別なAPIに潜んでいる脆弱性を悪用する攻撃は検知が難しい。そこで検討すべきは、“攻撃検知”から”予防”へ、セキュリティ戦略を拡張することだ。
セキュリティチームとアプリケーション開発チームが協調して、攻撃者より先に脆弱性を見つけ出し、速やかにプログラムを修正していく。このような予防の仕組みをアプリケーションの開発、運用サイクルの中に組み込み、サイクルを回していく「DevSecOps」「Security by Design」の取り組みがより重要になるだろう。
これからの社会で、WebAPI は重要なデータを取り扱うだけでなく、プライバシーや人命に関わる情報や機器の制御にも利用されることになるだろう。そこで、実は見落とされがちなAPI特有のリスクを抱えていることを意識して対策の検討を始めてほしい。
特に、情報セキュリティやアプリケーション開発に関わる人には、この機会にぜひAPIのセキュリティについて理解を深めてほしいと思う。なぜなら、その知識のギャップをつく形で、この見えない攻撃が、すでに試みられているからだ。
APIエコノミーを静かに侵食しようとする攻撃を認識し、防いでいくためには、多少の勉強も必要になるだろう。本稿がそのきっかけになることを願う。
関連記事
- スマホアプリの“目立たぬ弱点” 分かっていても対策が難しいワケ
スマホアプリなどの隠れた弱点となっているAPIを狙う攻撃の現状と対策上の課題について、アカマイ・テクノロジーズでWebセキュリティを追う中西一博氏が解説する。 - セキュリティベンダーはLog4j脆弱性攻撃にどう対応したか 舞台裏からゼロデイ攻撃対策を再考する
2021年末に発見された「Apache Log4j」の脆弱性。この脆弱性を悪用する攻撃に対峙したセキュリティベンダーは、どんな対処を取ったのか。実際の対応を参考に、ゼロデイ攻撃への対策を考える。 - 相次ぐ漏えい事件、本格的に狙われ出したSaaSベンダー 見過ごされてきた“死角”への対策は
クラウド化の波やコロナ禍の影響により、Webベースの業務アプリケーションが普及したため、悪意を持った第三者にとっては攻撃しやすい状況にある。今回は、最近漏えい事件が相次いでいる「業務アプリ」に焦点を当て、Webセキュリティを解説する。 - ヨドバシの中の人が語る、開発中のヨドバシAPIが目指す機能、仕組み、そしてセキュリティ(後編)
ヨドバシAPIがどのように設計され、開発、実装されていくのか。ヨドバシの”中の人”が解説。 - 質問箱のPeingに脆弱性 ユーザーのTwitterトークンが“丸見え” 公式アカウントが乗っ取られメンテナンスに
匿名質問サービス「Peing-質問箱-」に脆弱性があった。悪用すれば、第三者が任意のユーザーになりすましてツイートを投稿することなどが可能だった。
Copyright © ITmedia, Inc. All Rights Reserved.