シャドーAPIとは?

シャドーAPIとは、管理されていないAPIを指し、それを使用する組織に深刻なリスクをもたらします。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • 「シャドー API」の定義
  • シャドーAPIが危険な理由を学ぶ
  • シャドーAPIとゾンビAPIの比較

記事のリンクをコピーする

シャドーAPIとは?

「シャドー」APIとは、アプリケーションプログラミングインターフェース(API)のうち、それを使用する組織によって管理または保護されていないものを指します。多くの場合、シャドー APIは、アプリケーションの開発中、または他のビジネス機能を実行するために開発者や組織内の他のユーザーによって導入されます。

シャドーAPIは、必ずしも悪意のある目的に使用されるAPIではありません。しかし、それらは組織のITチームやセキュリティチームの管理下にないため、新たな脆弱性や攻撃に対してセキュリティを確保することはできません。

なぜシャドーAPIは危険なのか?

シャドーAPIは本質的に悪意があるわけではありませんが、かなりのリスクをもたらす危険性が潜んでいます。組織のITチームやセキュリティチームは、APIセキュリティ標準の実施と改善に責任を負いますが、その保護対象は把握しているAPIとエンドポイントに限られます。もしこれらのチームが認識していない依存関係がある場合、潜在的なデータ暴露を追跡することも、コンプライアンスを確保することも、攻撃を阻止することもできません。

シャドーAPIによってもたらされる代表的なリスクには、以下のようなものがあります:

  • データ暴露:シャドーAPIは、機密データにアクセスできる可能性があります。これらのAPIが侵害されたり攻撃されたりすると、データの流出や盗難につながる可能性があります。
  • ラテラルムーブメント:シャドーAPIは、攻撃者が機密システムやアカウントにアクセスするための踏み台となる可能性があります。一度組織の環境に侵入されると、機密情報が盗まれたり、このアクセスを使用してさらなる攻撃が仕掛けられる恐れがあります。
  • パッチが適用されていない脆弱性:組織の監視・管理が及んでいないAPIに発見された新たなAPIの脆弱性にパッチを適用することはできません。シャドーAPIが(OWASP API Security Top 10に掲載されているような)基本的なAPI攻撃やリスクに対してすでにセキュリティで保護されている場合も、新たなエクスプロイトによって攻撃者の侵入口が作られてしまう可能性があります。
  • コンプライアンス違反: 多くの組織は、(GDPRCCPAなどの)データプライバシー法の適用を受けています。シャドーAPIは、開発者や他のユーザーにこれらの規制に準拠しない方法でデータを扱える能力を提供する可能性があり、結果として罰金やその他の重大な罰則が課される可能性があります。

APIディスカバリーとは?

APIディスカバリーは、組織内で使用されているすべての社内製およびサードパーティ製のAPIをカタログ化するプロセスです。APIは、アプリ開発の補強からマイクロサービスやその他の外部機能との接続まで、非常に幅広い目的を果たすため、数百(あるいは数千)とは言わないまでも、数十のAPIに依存している組織は珍しくありません。

APIディスカバリーを用いることで、組織はアプリ開発を合理化できるだけでなく、適切なインベントリーやセキュリティが確保されていない潜在的なシャドーAPIを発見することもできるようになります。この理由から、APIディスカバリーは、APIのセキュリティ対策を改善し、実施するための重要な第一歩となります。

シャドーAPIとゾンビAPIの比較

シャドーAPIは積極的に使用されている管理されていないサードパーティ製のAPIです。一方、ゾンビAPIは廃止予定または使われなくなったAPIです。シャドーAPIとは異なり、ゾンビAPIは組織が把握・管理している場合もありますが、積極的な使用はされていません。

通常、シャドーAPIとゾンビAPIはどちらもセキュリティ保護されないまま放置されるため、危険にさらされたり、攻撃に利用されたりする可能性があり、これを使用する組織に深刻なリスクをもたらします。

CloudflareはシャドーAPIからどう守るか?

Cloudflare API Gatewayには、すべてのAPIエンドポイントを自動的に検出、監視、保護するAPIディスカバリー機能が備えられています。入ってくるリクエストはOpenAPIスキーマに照らし合わせて検証され、準拠しないリクエストをブロックし、積極的なセキュリティモデルの適用を支援します。Cloudflare APIディスカバリーの仕組みの詳細をご確認ください。