「APIエコノミー」に迫る“検知できない脆弱性攻撃”の脅威：「見えないWeb攻撃」──情報漏えい対策の盲点（4/4 ページ）

APIが個人情報や機密情報の窃取や、アカウントの乗っ取りなどサイバー攻撃の格好の標的になっている。その傾向や対策、落とし穴をAkamai Technologiesの中西一博氏が解説。

[中西一博，ITmedia]

セキュリティ戦略の転換 “攻撃検知”から”予防”へ

　千差万別なAPIに潜んでいる脆弱性を悪用する攻撃は検知が難しい。そこで検討すべきは、“攻撃検知”から”予防”へ、セキュリティ戦略を拡張することだ。

　セキュリティチームとアプリケーション開発チームが協調して、攻撃者より先に脆弱性を見つけ出し、速やかにプログラムを修正していく。このような予防の仕組みをアプリケーションの開発、運用サイクルの中に組み込み、サイクルを回していく「DevSecOps」「Security by Design」の取り組みがより重要になるだろう。

　これからの社会で、WebAPI は重要なデータを取り扱うだけでなく、プライバシーや人命に関わる情報や機器の制御にも利用されることになるだろう。そこで、実は見落とされがちなAPI特有のリスクを抱えていることを意識して対策の検討を始めてほしい。

　特に、情報セキュリティやアプリケーション開発に関わる人には、この機会にぜひAPIのセキュリティについて理解を深めてほしいと思う。なぜなら、その知識のギャップをつく形で、この見えない攻撃が、すでに試みられているからだ。

　APIエコノミーを静かに侵食しようとする攻撃を認識し、防いでいくためには、多少の勉強も必要になるだろう。本稿がそのきっかけになることを願う。