SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

EnterpriseZine Press

ImpervaのCTOが年末のEC業界に注意勧告、ボットによるAPI攻撃に注意せよ

Imperva CTO クナル・アーノルド(Kunal Anand)氏インタビュー


 情報セキュリティ事故のリスクが増大し、いま企業では、サイバー攻撃、情報漏洩、不正アクセス、ウイルス感染などの対策が求められている。中でも警戒すべきは、APIの脆弱性を突いた攻撃だ。「金融やECなどの企業のAPIの脆弱性のリスクが高まっている」とImpervaのCTO クナル・アナンド氏は警告する。同氏の2022年10月の来日時のインタビューと11月18日におこなった会見の内容を紹介する。

APIへの不安が日本企業のDXの足かせに

Imperva 最高技術責任者(CTO)クナル・アナンド(Kunal Anand)氏/Imperva 日本法人代表執行役社長 柿澤光郎氏
Imperva 最高技術責任者(CTO)クナル・アナンド(Kunal Anand)氏/Imperva 日本法人代表執行役社長 柿澤光郎氏

 「日本企業はAPI攻撃への対策をさらに強化する必要がある」。こう指摘するのは、Imperva(インパーバ)のCTO クナル・アナンド氏。

 ここ数年、ランサムウェア被害、標的型攻撃、サプライチェーンの脆弱性への攻撃、リモートワークなどのニューノーマルな働き方を狙ったサイバーセキュリティ攻撃などが増加し、企業は対応を余儀なくされてきている。こうした中で、見逃されがちなのが、企業アプリケーションの「APIの脆弱性」だとアナンド氏は言う。

 Impervaはこれまでデータやアプリケーションの保護を中心にサイバーセキュリティ製品を提供してきた米国企業。2022年の1月にはForresterへの委託による調査結果を発表した。それによると、日本企業の74%が、機密データの悪用への不安、信頼できるAPIセキュリティの確保が出来ないことを理由に、APIの活用に二の足を踏んでいる。また日本企業の4分の1以上の26%が、現在稼働中のオープンAPIの数を把握しておらず、悪用される可能性があるエンドポイントを可視化できていないという結果が出ている。

 その一方で、今後については、76%の日本企業が、自社の競争力を維持するために、内部や第三者APIを利用することが重要であると考えており、増加する予定だという。

 アナンド氏は、こうした日本企業のセキュリティ動向を知るため、頻繁に来日している。2022年10月の来日は、金融機関などとのミーティングが目的だったという。

ボットによるAPIへの自動化攻撃が増加

 アナンド氏が指摘するのは、APIへの攻撃が、ボットにより自動化され大規模化していることだ。

 「いまや数ドル出せば、誰もがボット攻撃ツールをレンタルでき、企業にギガバイトレベルの攻撃を仕掛けることが可能です。Impervaは1ヵ月で1.5兆の顧客のHTTPリクエストを処理していますが、そのうち40%がボットによるものだと判明しています」

 ボットとは、オペレーターの操作により、自動化タスクを実行するソフトウェア・アプリケーションだ。ボットによる攻撃は、企業のサプライチェーンにも及んでいる。昨年のlog4Shell攻撃はApache Log4jの脆弱性を悪用したボットネットによるもの。「米国の政府機関は33,000時間もその対策に費やしました。企業のCIOやCSOは、APIを保護するための対策に今すぐ取り組む必要があります」とアナンド氏。

 日本企業にとって、APIを標的とする攻撃は大変深刻な課題だ。APIの普及の背景は、2つある。1つはDXの掛け声のもと、B2B パートナーやエンドユーザーに対してより多くのデータを公開し、データの参照にAPI を利用する機会が増えたこと。もう1つは、金融系や流通・小売系企業などのモバイルアプリケーションのサービスが増えたことだ。

ECサイトとボットの比率

次のページ
APIリスクの3つの種類

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
EnterpriseZine Press連載記事一覧

もっと読む

この記事の著者

京部康男 (編集部)(キョウベヤスオ)

ライター兼エディター。翔泳社EnterpriseZineには業務委託として関わる。翔泳社在籍時には各種イベントの立ち上げやメディア、書籍、イベントに関わってきた。現在はフリーランスとして、エンタープライズIT、行政情報IT関連、企業のWeb記事作成、企業出版支援などを行う。Mail : k...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/16990 2022/11/25 16:29

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング