モバイル アプリ、クラウド サービス、および Web アプリケーションのブームは、憂慮すべき傾向をもたらしました。攻撃者は、それらを支える API をますます標的にしています。 企業は、これらの豊富なデータ コネクタを保護するためのツールを必要としています。Salt Security に投資しているという CrowdStrike の発表は、Web アプリケーション セキュリティで API セキュリティが果たす重要な役割を浮き彫りにしています。
API (アプリケーション プログラミング インターフェイス) は、現代の企業ではどこにでもあります。 次の点を考慮してください。
- 地図と位置データを表示する Web アプリケーションは、Google Maps API に依存しています。
- 「Pay with PayPal」機能など、複数の支払いオプションを提供する電子商取引アプリケーションは、API を使用しています。
- 小売業者は、API を使用して宅配業者や配送会社と連携し、荷物が確実に集荷され、正しく配送されるようにします。
- 企業は API 経由でソフトウェアを送信できます。 それがテスラのすることです。
Salt Security の CEO 兼共同設立者である Roey Eliyahu 氏は、声明の中で次のように述べています。
開発者は API を使用してアプリケーションを複数のデータ ソースやサービスに接続し、ゼロから始めることなく新しい機能や製品を構築できます。 たとえば、詳細な地図を維持するためのリソースやデータを持っている組織は多くありませんが、Google マップは API を介して情報を提供するため、その必要はありません。 ただし、API がアクセスできるという事実 機密データとシステムは脆弱になります。 API がなんらかの方法で悪用されると、基になるデータが公開され、データ侵害が発生する可能性があります。
A Peloton API のバグ ユーザーのプロファイルが非公開に設定されている場合でも、誰でもユーザーの非公開アカウント データを Peloton のサーバーから直接プルすることができました。 ある金融機関の融資サイトでも同様の状況がありました。 漏れやすい Experian API 名前と郵送先住所だけで、誰でも他人のクレジット スコアを調べることができました。
「企業は、ネットワークとアプリケーションのセキュリティ プラクティスの成熟度をはるかに上回る速度で大量の API を作成しています」と、Gartner のアナリストである Jeremy D'Hoinne と Mark O'Neill は、 API セキュリティに関する最近の「Gartner Predicts」レポート. 「組織が生成するすべての API を十分に可視化するには、強力なインベントリとリアルタイムの発見の両方が必要です。」
財務的な観点からは、CrowdStrike の投資は理にかなっています。 によると、API セキュリティ市場は 26.3 年から 2022 年の間に 2032% 成長すると予想されています。 Future Market Insights による調査 今月上旬。 Gartner は、API 攻撃がまもなく Web アプリケーションに対する最も頻繁な攻撃ベクトルになると予測しています。
投資に加えて、CrowdStrike は、Salt Security と協力してセキュリティ テストを行い、API を強化し、アプリケーションの API 検出と実行時保護を強化する予定であると述べています。