APIセキュリティリスクのOWASPトップ3と、その軽減方法は? ESETが2023年版を発表:APIは脅威アクターのお気に入りの標的
セキュリティ企業のESETが2023年のOWASPトップ3のAPIセキュリティリスクを紹介し、その脅威を軽減する方法を解説した。
セキュリティ企業のESETは2023年6月1日(米国時間)、運営するブログサイト「WeLiveSecurity」で「All eyes on APIs: Top 3 API security risks and how to mitigate them」という記事を公開した。本稿では、その要約を記す。
APIセキュリティの脅威はどの程度深刻なのか?
アプリケーションプログラミングインタフェース(API)は、デジタル革命の縁の下の力持ちだ。新しいユーザー体験を生み出すために、さまざまなソフトウェアコンポーネントを結び付ける役割を果たす。しかし、バックエンドデータベースへの直接パスを提供するので、脅威アクターにとって魅力的な標的でもある。
最近の調査によると、世界の組織の94%が過去1年間に運用環境でAPIセキュリティの問題を経験しており、そのうち5分の1近く(17%)がAPI関連の侵害に苦しんでいる。
2023年だけでも、次のような事例があった。T-Mobile USAは、悪意のある攻撃者がAPIを介し、3700万人に上る顧客の個人情報とアカウント情報にアクセスしたことを認めている。また、Booking.comではOpen Authorization(OAuth)実装の設定が間違っており、サイト上で重大なユーザーアカウントの乗っ取り攻撃につながる可能性があった。
APIの脅威によってリスクにさらされるのは、企業の評判や収益だけではない。半数以上(59%)の組織が、「APIセキュリティの懸念によって、新しいアプリの展開を遅らせなければならなかった」と主張している。これは、現在、取締役会の半数で経営幹部レベルの議論のテーマとなっている理由の一つだ。
2023年、OWASPトップ3のAPIリスク
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
開発者のほとんどがAPIのセキュリティリスクに遭遇、懸念される“ゾンビAPI” Salt Labs
Salt LabsはAPIセキュリティの動向を調査した「Q1 2023 State of API Security」を発表した。
APIセキュリティについて学習できるオープンソースラボ環境「vAPI」、なぜ必要なのか
「OWASP API Security Top 10」に含まれるAPIの脆弱性の挙動を観察できるオープンソースツール「vAPI」が登場した。どのように役立つのだろうか。
APIの脆弱性はどの程度危険なのか、どうすれば攻撃を防げるのか
サイバーセキュリティツールベンダーのPortSwiggerは、APIの脆弱性対策について解説したブログ記事を公開し、警鐘を鳴らした。設計時からAPIの脆弱性に注意を払うこと、さらに攻撃者の立場でAPIをテストすることが重要だという。