アプリケーションセキュリティの状況
WebアプリとAPI脅威に関する3つの驚くべきトレンド
Webアプリケーションは、セキュリティを念頭に置いて構築されることはほとんどありません。しかし、私たちはあらゆる種類の重要な機能のために日常的に使用しているため、ハッカーの格好の標的になっています。
WebアプリケーションとAPIの重要な性質、およびそれが保持するデータを考慮すると、アプリの悪用や未保護は、ビジネスの中断、財務的損失、重要なインフラストラクチャの破壊につながる可能性があります。
Cloudflareが最近発表した『アプリケーションセキュリティの状況』レポートからのインサイトによると、企業がWebアプリとAPIの古いセキュリティアプローチに苦労している一方、オンライン脅威アクターはかつてないほど効率的かつ迅速に活動しています。この調査は、毎日2,090億件のサイバー脅威を特定し、ブロックしているCloudflareグローバルネットワークから集計されたトラフィックパターン(2023年4月から2024年3月に観測)に基づいて行われました。
この記事では、CISOが緊急に注目し、行動を起こす必要がある3つの主要なトレンドを紹介します。
トレンド1:企業は圧倒的に古いAPIセキュリティを使用している
消費者やエンドユーザーは、APIが実現する一層ダイナミックなWeb体験、モバイル体験を求めます。そうした体験は、APIによってますます強化・拡張されています。APIは、企業により優れたビジネスインテリジェンス、迅速なクラウド展開、新しいAI機能の統合などの競争上の優位性を生み出します。
しかし、多くの場合、APIセキュリティはAPIの導入の速いペースに後れを取っています。Cloudflareは、機械学習モデルを使用して、他の方法では取り残される可能性のあるAPIトラフィックを特定します。このレポートから、公開されているAPIエンドポイントは��企業が把握している数より33%も多いことがわかりました(この数は、機械学習ベースで検出されたAPIエンドポイントの数と顧客提供のセッション識別子により検出されたAPIエンドポイントの数を比較して算出されました)。
Webアプリと比較して、APIには異なるセキュリティ上の課題があるにもかかわらず、何らかの形でアプリケーション層セキュリティで防御されるAPIトラフィックの66.6%は、ポジティブセキュリティモデルを採用した特殊なAPIルールではなく、従来のネガティブセキュリティWAFルールで主に保護されていることがわかりました。ネガティブセキュリティモデルは、悪性トラフィックをブロックし、それ以外のすべてのトラフィッを許可することで機能します。それに対し、ポジティブセキュリティモデルは、他のすべてのトラフィックを拒否する一方で、明示的に許可されるトラフィックを指定します。
推奨事項
企業がAPIを介してより多くのサービスを公開するようになれば、Webアプリセキュリティツール(WAFやDDoSなど)を、教師なし機械学習によって強化された専用のAPIセキュリティおよび管理で補完する必要があります。
業界のベストプラクティスでは、APIを保護するためにネガティブセキュリティモデルのルールに依存するのではなく、ポジティブセキュリティモデルを採用することを推奨しています。APIセキュリティにポジティブセキュリティモデルを適用することで、企業は設定されたOpenAPIスキーマ��に準拠するトラフィックだけを受信することによって、攻撃を含む可能性のある不正なリクエストやHTTP異常をブロックしながら、APIを保護することができます。
シャドーAPIを発見することで、APIセキュリティを強化し続けましょう。堅牢なAPIセキュリティツールは、未管理または未保護のツールも含め、環境内のすべての公開APIを常にスキャンする必要があります。
トレンド2:サードパーティコードがサプライチェーンリスクを増大させている
ほとんどの企業のWebアプリは、サードパーティプロバイダーからの別のコード(通常はJavaScript)に依存しています。サードパーティスクリプトを使用することで、最新のWebアプリ開発が加速し、すべての新しいアプリ機能を社内で構築することなく、企業はより早く機能を市場に出荷することができます。
最新の調査によると、平均的なCloudflare顧客のWebサイトには47のサードパーティスクリプトが含まれており、50のJavaScript関数との接続先があり、12のクッキーが提供されています。
サードパーティコードやCookieは、そのコードがユーザーのブラウザーに読み込まれる頻度が高いことや、Cookieは改ざんされてセッションやアカウントの乗っ取りが可能であることなどの理由から、Web訪問者にセキュリティリスクをもたらします。攻撃者は、盗んだアカウント資格情報を使う、ゼロデイ脆弱性やパ��ッチ未適用の脆弱性を悪用するなど、さまざまな方法でWebサイトで使用されるJavaScriptコンポーネントのコードを書き換える可能性があります。そして、この特権アクセスを利用して、そのJavaScriptコードを使うすべてのWebサイトに下流への攻撃を仕掛けるのです。
推奨事項
サードパーティスクリプトのリスクを自動的に特定し、Webサイトで使用されているすべてのファーストパーティCookieを完全かつ単一のダッシュボードで表示するセキュリティベンダーを探してください。
トレンド3:インターネットトラフィックの3分の1はボットから発生しているが、業界によって影響は異なる
ボットは、平均してCloudflareが処理した全アプリケーショントラフィックの3分の1(31.2%)を占めています。この割合は過去3年間、ほぼ安定(約30%)しています。
ボットトラフィックという用語はネガティブなイメージが強いかもしれませんが、実際にはボットトラフィックは必ずしも良性か悪性かというわけではありません。すべてはボットの目的によって異なります。カスタマーサービス用のチャットボットや認証された検索エンジンクローラーなど、必要なサービスを実行する「良性」のものもあります。しかし、中にはオンライン製品やサービスを��悪用するボットもあり、収益に深刻な影響を与える可能性があるため、ブロックする必要があります。実際、アメリカとイギリスの一般的な企業は、悪意のあるボット攻撃によって、毎年、オンライン収益の4%以上を失っています。
これらの業界は、1日あたりのボットトラフィックの割合の中央値が最も高くなっています。
画像ソース:2024年アプリケーションセキュリティの状況
推奨事項
貴社の業界がより多くのボットトラフィックを経験する傾向がある場合、先を見据えて悪性ボットからの脅威を阻止するためにボット管理への投資を増やすことを検討してください。
次のようなボット管理サービスを探してください。
行動分析、機械学習、フィンガープリンティングを多様かつ膨大な量のデータに適用することで、大規模にボットを正確に特定する
Web他のアプリセキュリティおよびパフォーマンスサービス(WAF、CDN、DDoSなど)との統合が容易
検索エンジンに属するボットなどの良性ボットは貴社サイトへのアクセス維持を許可しながら、悪意のあるトラフィックを防止
新たなリスクに先手を打つ
多くの企業では、アプリケーションセキュリティの課題すべてに対処するために、レガシーセキュリティハードウェア、クラウドネイティブセキュリティ、自社開発のセキュリティを寄せ集めています。しかし、このような断片化されたアプローチは、SaaSアプリ、Webアプリ、その他のITインフラを接続し、保護することを困難にします。ITが無秩序に広がることで、攻撃者は脆弱性の発見と悪用を容易に行えるようになります。統合されたプラットフォームアプローチは、より優れたセキュリティ、遅延のない接続性を確保し、企業が新しい市場に進出する際に現地の規制を遵守できるようにすることで、ビジネスの成長率を高め、顧客の信頼を強化します。
Cloudflareのアプリケーションセキュリティは、アプリケーションとAPIを不正使用から保護し、悪性ボットやDDoS攻撃を阻止して、悪意のあるペイロードとブラウザサプライチェーン攻撃を監視します。当社のアプリケーションセキュリティ製品は、パフォーマンス製品スイートと緊密に連携しており、すべてCloudflareのコネクティビティクラウドによって提供されます。これは、パブリッククラウドの次の進化形であり、1つのプログラム可能なグローバルクラウドネットワーク上で、プログラム可能なコンポーザブルサービスの統合インテリジェントプラットフォームを提供します。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
記事の要点
この記事では、以下のことがわかるようになります。
現代のビジネスとコミュニケーションにおけるアプリケーションとAPIの役割
CISOからの緊急対応が必要なWebアプリケーションとAPI�に関する新たな3つのトレンド
企業が脅威の先手を打つための実用的な推奨事項
関連リソース
このトピックを深く掘りさげてみましょう。
『2024年アプリケーションセキュリティの状況』レポートで、アプリケーショ�ンセキュリティスタックを最新化し、場所に関係なくWeb訪問者とデータを保護する方法について詳しくご覧ください。