企業がデジタライゼーションを推進するにつれ、APIの利用が増加していますが、APIに焦点をあてたセキュリティ対策を導入している企業はまだ少なく、その脆弱性を狙った攻撃が増加しています。アイテ・グループでは、金融機関/フィンテック企業31社に対してAPIセキュリティ対策の現状(API接続の管理や技術者のセキュリティ教育、インシデント時のレポーティング手順など)に関するヒアリング調査を実施、CMMI成熟度モデルで評価してレポートにまとめました。
アイテ・グループ・レポート:API Security: Best Practices for FIs and Fintech and Insurtech Companies
■ APIを狙ったサイバー攻撃が増加
米国では、APIを狙ったサイバー攻撃が増加しており、GoogleやFacebook、Salesforce、VMwareなどのテクノロジー企業だけでなく、マリオット・ホテルやスターバックス、Venmo、郵便公社などもAPIに関するアタック被害や脆弱性があったことを公表している。このような、APIセキュリティに対する関心の高まりを受け、Aite Groupでは、金融機関やフィンテック企業31社に対して、APIセキュリティ対策の現状をヒアリングした。
■ ヒアリングのカテゴリー
ヒアリングにあたって、アイテ・グループでは、APIセキュリティの評価軸を以下7項目に設定した。
- APIセキュリティに関する責任部署(責任者)を置いているか
- 自社のAPI利用状況をすべて把握しているか(インベントリー・マネジメント)
- 他社のAPIに接続する際の承認手順を取り決めているか
- アプリケーション・セキュリティに関するテスト手順を確立しているか
- 社内外のデベロッパーに対して、API利用に関する情報提供方法を標準化しているか
- 自社デベロッパーに対するセキュリテ研修の内容に、APIセキュリティを取り入れているか
- インシデントが発生した際の報告手順が確立されているか(APIブリーチの際の追加手順が含まれているか)
■ CMMI成熟度で評価
ヒアリングの結果は、CMU/SEI が作成したCMMI(能力成熟度モデル統合)モデルに即して5段階で評価した。その結果、7つの評価軸に対する31社の平均値は、いずれもレベル2台(2.16から2.77)となり、改善の余地がまだかなりある結果になった。
金融機関やフィンテック企業のAPI活用は今後も増加することが予想され、そこでは多数の「センシティブ・データ(取り扱いに注意が必要なデータ:個人情報など)」が行き来することになる。サイバー犯罪者もこれを認識し狙いを定めているだろう。アイテ・グループでは、APIセキュリティの早急なレベル・アップが必須だと考えている。
Add new comment