Cloudflareが2024年のAPIセキュリティと管理レポートを発表

原文リンク(2024-01-21)

Cloudflareはこのほど、2024年APIセキュリティと管理レポートを発表した。このレポートでは、シャドーAPIのリスクの増大、もっとも一般的なAPIエラー、さまざまな業界にわたるグローバルなAPIの利用状況について分析している。

Cloudflareのセキュリティチームは、2024年にはコントロールの喪失と複雑性が増大し、APIリスクの増大につながるAIへのアクセスが容易になり、ビジネスロジックに基づく詐欺攻撃が増加すると予測している。CDN企業は、APIセキュリティに直接対応するPCI DSSの最初のバージョンが2024年3月に施行されるのに合わせて、ガバナンスに対する需要が高まると予測している。CloudflareのCOOであるMichelle Zatlyn氏は、以下のように呟いている。

APIがインターネットを支配しつつある！APIは全インターネットトラフィックの57%を占めており、5年前の15%から増加している。この急成長には目を見張るものがあるが、同時にAPIはサイバー攻撃の標的にもなっている。

CloudflareのプロダクトマネージャーであるJohn Cosgrove氏とCloudflareのデータサイエンティストであるSabina Zejnilovic氏はこのように記述している。

生成AIの台頭は、AIモデルのAPIが攻撃に対して脆弱になってしまうだけでなく、開発者がバグのあるAIで書かれたコードを公開してしまうといった、潜在的なリスクをもたらします。

本レポートの調査結果は、Cloudflareのグローバルネットワークが10ヶ月間にわたり観測したトラフィックパターンから導き出されたもので、CDNプロバイダーは1秒間に平均5,000万件以上のHTTPリクエストを処理した。

出典：CloudFlare ブログ

Cloudflareによると、機械学習ベースの発見では、自己申告のアプローチよりもAPIエンドポイントが30.7％多く発見され、APIの3分の1近くが適切にインベントリ化されていない「Shadow API」であることを示している。WAFが管理するルールによると、インジェクション攻撃はHTTP Anomalyに次いで、APIに対する2番目に一般的な脅威ベクトルである。

Cloudflareは、APIセキュリティに「確実な解決策」はないと認めつつも、次の4つの戦略を推奨している。統一されたコントロールプレーンでAPIアプリケーションの開発、可視性、パフォーマンス、セキュリティを組み合わせること、機械学習技術に依存するセキュリティツールを使用すること、ポジティブセキュリティモデルを採用すること、APIの成熟度を時間をかけて向上させること。ネガティブモデルでは、セキュリティツールは攻撃の兆候を探し、それを阻止するために行動を起こすが、ポジティブモデルでは適切なリクエストのみを許可する。

HTTP429はAPIでもっとも一般的なレート制限エラーであり、4xxおよび5xxエラーメッセージのうち、レスポンスのほぼ52%を占めている。

出典：CloudFlare ブログ

Cloudflareはベストプラクティスとして、顧客がセッションIDに基づいて制限し、、セッションIDが利用できない場合にのみIPアドレス（またはIP + JA3フィンガープリント）にフォールバックすることを推奨している。しかし Cosgrove 氏と Zejnilovic 氏は、正しいアプローチを実施することが困難である理由を説明している。

いくつかのAPIでは、実務者はHTTP 403（禁止）で応答するようにレート制限エラーを設定し、他のものはHTTP 429（リクエストが多すぎる）で応答します。HTTP 403の使用は、他のセキュリティツールも403コードで応答していることに気づくまでは、十分に無害であるように感じます。攻撃を受けているとき、どのツールがどのエラーやブロックに関係しているのかを読み解くのは難しいのです。代わりに、HTTP 429をレート制限に利用すれば、攻撃者は即座にレート制限されていることを知ることができ、検知されることなく制限の真下で「サーフィン」ができるのです。

レポートの全文は自由に入手できるが、サインインが必要である。セキュリティと管理に関するレポートを発表しているのはCloudflareだけでなく、F5もForrester API Security Reportを発表している。