本記事はサイバー・セキュリティに関するニュースを集めた情報サイト 「IoT OT Security News」に掲載されている情報から セキュリティニュースを一部抜粋してご紹介するものです。
記事詳細は下部に記載のURLよりご覧ください。
2023/04/13 TheHackerNews — シャドー API は、悪意の動作を隠蔽し、データ損失を引き起こす可能性があるため、あらゆる規模の組織にとって、リスクを高めるものになっている。シャドー API とは、公式に文書化/サポートされていない API のことだが、この言葉を知らない人も多いだろう。残念なことだが、運用チームやセキュリティ・チームの誰もが知らない API が、プロダクション環境に存在することが一般的である。企業は何千もの API を管理しているが、その多くは API ゲートウェイや Web アプリケーション・ファイアウォールなどのプロキシを経由していない。つまり、大半の API は監視/監査されない、最も脆弱な存在なのだ。
シャドー API は、セキュリティ・チームからは見えないため、脆弱性を突こうとするハッカーたちに、無防備な経路を提供する。これらの API は、脅威アクターにより操作され、顧客の住所から会社の財務記録に至るまでの、さまざまな機密情報へのアクセスを許す可能性を持つ。データ漏洩やコンプライアンス違反の可能性を考慮すると、シャドー API による不正アクセスを防止することは、ミッションクリティカルな課題となっている。
そこで、API が隠される仕組みと、シャドー API が悪用される可能性について解説していく。また、API の利用状況やトラフィックを監視することの重要性および、シャドー API を特定しする方法、目的に応じたセキュリティ制御でリスクを軽減する方法についても紹介していく。
API はどのように隠されるのか
API の可視性が欠如する要因としては、API 管理の不備/ガバナンスの欠如/不十分な文書化などが考えられる。たとえば、ガバナンスが存在しない場合には、効果的に利用されていない API が、組織内に過剰に保有されるというリスクが生じる。 ・・・