Google Cloud Nextの期間中、GoogleはApigee API Managementソリューションの一部であるAdvanced API SecurityのシャドーAPI検出のプレビューリリースを発表した。Google CloudのこのマネージドAPIブローカーサービスにより、ユーザーはAPIの設計、セキュア化、デプロイ、監視、分析をすることができる。
Apigeeの高度なAPIセキュリティ機能は、誤った設定のAPIをプロアクティブに識別し、悪意のあるボットやビジネスロジック攻撃を検出する。Google Cloudのグループ・プロダクト・マネージャーであるニルス・スワート(Nils Swart)氏と、Google Cloudのプロダクト・マネージャーであるシェリー・ハーシュコヴィッツ(Shelly Hershkovitz)氏は、Googleブログの投稿でこのように書いている。
以前は、この保護機能はアクティブに管理されているAPIに対してのみ利用可能でした。今では、Advanced API SecurityのシャドーAPIを発見する機能によって、見つけにくい盲点をなくし、セキュリティギャップを埋めることができます。
Advanced API Securityの概要(出典:Google Documentation Apigee)
シャドーAPIは企業の管理下にはないが、開発者が反復作業の時間を節約したり、他のチームへの依存度を低くしたり、組織の既存の承認済みAPIのギャップを埋めるために使用する。開発者は善意でAPIを使用しているかもしれないが、組織のソフトウェア環境内で自由に機能することを許可された場合、これらの規制されていないAPIは深刻な脆弱性をもたらす可能性がある。
同社はこの程、Advanced API SecurityをGoogle Cloud地域の外部アプリケーションロードバランサーと統合した。この統合により、特定の地域内のAPIトラフィックを正確に識別できるようになり、コンプライアンスを確保し、パフォーマンス要件を満たすのに役立つ。この機能は、ロードバランサー内のリクエストとレスポンスを分析することで、エンドポイント、プラットフォーム、プロトコル、パラメータ、レスポンスなどの主要なAPIの詳細を抽出できる。この情報は、提供されるユーザーインターフェイスを通じて、APIの操作、アクティビティ、直近の更新に関するアクセス可能な洞察を提供する。
ロードバランサーに関連するシャドーAPIエンドポイントの詳細情報(出典:Googleブログポスト)
AWSやマイクロソフトのような他のクラウドプロバイダーは、Apigee API Managementや同様の機能のようなAPI管理サービスを提供している。シャドーAPIに関して、以下に記載する。
- AWS API Gatewayは AWS Web Application Firewall(WAF)と統合されており、不正で悪意のあるAPIリクエストから保護する上で同レベルのセキュリティを提供できる。ネイティブでは「シャドーAPIの検出」機能はないが、WAFとAWS CloudWatchとAWS X-Rayを通じた詳細なロギングとモニタリングの組み合わせは、間接的にシャドーAPIの特定と管理に役立つ。
- Azure API Managementサービスの機能には、シャドーAPIに関与する可能性のある潜在的に悪質な活動を特定するために使用できるゲートウェイレベルの脅威保護が含まれる。また、詳細な分析とロギングを提供し、文書化されていないAPIの追跡に役立つ。
Google社のアピジー・エンタープライズ営業部長であるDan Mearls氏は、LinkedInでこのように投稿している。
シャドーAPIは、認証や認可プロトコルのような強固なセキュリティ対策が頻繁に欠如しているため、重大なビジネスリスクをもたらします。これは、ハッカーにとって脆弱な標的となり、データ漏洩や機密情報漏洩の可能性を高めます。さらに、シャドーAPIは確立されたデータ取り扱いプロトコルを回避する可能性があり、GDPRやCCPAのようなデータプライバシー規制の違反につながる可能性があります。
最後に、Advanced APIセキュリティの詳細については、この程作成されたドキュメントを参照されたい。