攻撃者に狙われるAPI、そのセキュリティをどう確保すべきか？

　アプリ間で個人情報や重要情報をやりとりする際に欠かせないAPIは、IoT、自動運転や各種家電など、さまざまな製品において重要な役割を担っている。顧客向け、外部パートナー向け、内部向けなど、その用途も多岐にわたる。このように、組織にとって重要データを扱うことが多いAPIは、攻撃者にとって格好のターゲットだ。

　近年ではこのAPIを狙う攻撃として、「ビジネスロジック攻撃」が台頭している。ビジネスロジックとは、UIとDBの間で情報をやりとりするためにカスタムされたルールやアルゴリズムのことで、APIの用途としては典型的なものだ。しかし、アプリのデザインや実装によっては、脆弱性が生まれることがあり、ビジネスロジック攻撃ではその部分が狙われる。

　本コンテンツは、サイバー攻撃者の主要ターゲットとなりつつあるAPIの現状についての調査結果だ。APIセキュリティが現在直面しているさまざまな課題を指摘した上で、それらの具体的な解決方法や、推奨されるソリューションについても言及している。ビジネスにおいてAPIを活用する全ての組織にとって参考になるはずだ。