シャドーAPIとは、管理されていないAPIを指し、それを使用する組織に深刻なリスクをもたらします。
この記事を読み終えると、以下のことができるようになります。
記事のリンクをコピーする
「シャドー」APIとは、アプリケーションプログラミングインターフェース(API)のうち、それを使用する組織によって管理または保護されていないものを指します。多くの場合、シャドー APIは、アプリケーションの開発中、または他のビジネス機能を実行するために開発者や組織内の他のユーザーによって導入されます。
シャドーAPIは、必ずしも悪意のある目的に使用されるAPIではありません。しかし、それらは組織のITチームやセキュリティチームの管理下にないため、新たな脆弱性や攻撃に対してセキュリティを確保することはできません。
シャドーAPIは本質的に悪意があるわけではありませんが、かなりのリスクをもたらす危険性が潜んでいます。組織のITチームやセキュリティチームは、APIセキュリティ標準の実施と改善に責任を負いますが、その保護対象は把握しているAPIとエンドポイントに限られます。もしこれらのチームが認識していない依存関係がある場合、潜在的なデータ暴露を追跡することも、コンプライアンスを確保することも、攻撃を阻止することもできません。
シャドーAPIによってもたらされる代表的なリスクには、以下のようなものがあります:
APIディスカバリーは、組織内で使用されているすべての社内製およびサードパーティ製のAPIをカタログ化するプロセスです。APIは、アプリ開発の補強からマイクロサービスやその他の外部機能との接続まで、非常に幅広い目的を果たすため、数百(あるいは数千)とは言わないまでも、数十のAPIに依存している組織は珍しくありません。
APIディスカバリーを用いることで、組織はアプリ開発を合理化できるだけでなく、適切なインベントリーやセキュリティが確保されていない潜在的なシャドーAPIを発見することもできるようになります。この理由から、APIディスカバリーは、APIのセキュリティ対策を改善し、実施するための重要な第一歩となります。
シャドーAPIは積極的に使用されている管理されていないサードパーティ製のAPIです。一方、ゾンビAPIは廃止予定または使われなくなったAPIです。シャドーAPIとは異なり、ゾンビAPIは組織が把握・管理している場合もありますが、積極的な使用はされていません。
通常、シャドーAPIとゾンビAPIはどちらもセキュリティ保護されないまま放置されるため、危険にさらされたり、攻撃に利用されたりする可能性があり、これを使用する組織に深刻なリスクをもたらします。
Cloudflare API Gatewayには、すべてのAPIエンドポイントを自動的に検出、監視、保護するAPIディスカバリー機能が備えられています。入ってくるリクエストはOpenAPIスキーマに照らし合わせて検証され、準拠しないリクエストをブロックし、積極的なセキュリティモデルの適用を支援します。Cloudflare APIディスカバリーの仕組みの詳細をご確認ください。
利用開始
Webアプリケーションセキュリティについて
一般的な脅威
VPNリソース
セキュリティ用語集