San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
閉じる
プライバシー設定
ウェブサイト運営に必要なCookieや類似技術を使用しています。追加のCookieは貴社の同意がある場合のみ利用されます。同意は「Agree」をクリックすることでいただけます。どのデータが収集され、どのようにパートナーと共有されているかの詳細は、Cookieポリシープライバシーポリシーをご確認ください。
Cookieは、貴社デバイスの特性や、IPアドレス、閲覧履歴、位置情報、固有識別子などの特定の個人情報を取得、解析、保存するために使用されます。これらのデータは様々な目的で利用されます。分析Cookieによりパフォーマンスを評価し、オンライン体験やキャンペーンの効果向上に役立てます。パーソナライズCookieは、利用状況に応じた情報やサポートを通じ、貴社専用の体験を提供します。広告Cookieは、第三者が貴社のデータをもとにオーディエンスリストを作成し、ソーシャルメディアやネット上でのターゲット広告に使用します。貴社は各ページ下部のリンクから、いつでも同意の許可、拒否、または撤回が可能です。
ご送信ありがとうございます。内容を受け付けました。
申し訳ありません。フォーム送信時にエラーが発生しました。

NetflixやWordPressを含む企業のAPIセキュリティリスクを明らかにする新しいWallarmレポート

November 8, 2023

第三四半期に認証、認可、アクセス制御に関連する239件の新たなAPI脆弱性と深刻な問題を明らかに

SAN FRANCISCO--(BUSINESS WIRE)--Wallarmは、APIとアプリのエンドツーエンドセキュリティをリードする企業として、本日、Q3-2023 Wallarm API ThreatStats™レポートを発表しました。この四半期レポートでは、APIを中心とした脅威の急増を詳しく取り上げ、Netflix、VMware、SAPなどの大手企業を最近襲ったインジェクションやAPIデータ漏えいなどの深刻な脆弱性を明らかにしています。webinarは11月8日午前11時(PT)/午後2時(ET)に開催され、Wallarm幹部がレポートの主な調査結果を紹介します。

この新レポートでは、第三四半期に発見された239件の脆弱性を対象とした、即時のデータに基づくリスト「Top 10 API Security Threats」を刷新して紹介しています。APIへの悪意あるデータやコードの挿入によって不正アクセスやデータ侵害を引き起こすインジェクションが最も多く、SQLやXMLといった攻撃ベクターが確認されています。また、クロスサイト攻撃、アクセス制御の不備、セッションやパスワードの管理不備もリストに含まれています。

239件の脆弱性のうち33%(239件中79件)は認証、認可、アクセス制御(AAA)に関連しており、APIセキュリティの基盤となる重要な要素です。Open authentication(OAuth)、シングルサインオン(SSO)、JSON Web Token(JWT)などAPIセキュリティを支える仕組みが、SentryやWordPressなどの信頼あるテック企業でも損なわれました。SentryではOAuthトークン要求時の認証の誤りにより、開発者のプロジェクトが不正アクセスされる恐れがあり、WordPressのSSOはプラグインの認証不備によって数百万ものユーザーのデータが盗まれるリスクが生じています。

企業のテックスタックがより複雑になるにつれ深刻化しているAPIデータ漏えいの問題も、今四半期レポートの焦点でした。比較的新しいものの、APIデータ漏えいは機密データを制限なく開示してしまう可能性があるため、セキュリティ脅威リストの4番目にランクインしています。最近ではNetflix、VMware、SAPが大きなデータ漏えいに直面し、Netflixはエラーメッセージ内でJWTの秘密鍵が露出し、VMwareでは機密情報に関する脆弱性が報告されました。

「ここ数ヶ月で、NetflixやVMwareのような大手でも深刻なデータ漏えいを避けられない状況にあるとわかりました」とWallarmのCEOであるIvan Novikovは述べています。「悪意ある攻撃者によるものか内部の不注意によるものかにかかわらず、このレポートはビジネスリーダーやサイバーセキュリティ担当者に、APIやその他の漏えいに対する対策を製品セキュリティプログラムに加える必要性を示す警鐘です。OWASP API Security Top-10のようなセキュリティフレームワークも、今日の複雑なAPIセキュリティ課題をすべて解決しきれない場合があります。この即時データに基づく脅威リストは、未解決の脅威や脆弱性を把握するうえでOWASPフレームワークを補完・拡張し、全体的なセキュリティをより強化します。」

本レポートで指摘されているAPIセキュリティ上の脅威に対抗するには、まず積極的なセキュリティ戦略を取ることが重要です。専門家の知見と推奨事項として、AAAの原則を定期的にアップデートしてリスクを軽減し、APIキー流出の悪用を防ぐ自動検知システムなど、API漏えい対策の導入を促しています。

Q3-2023 Wallarm API ThreatStats™レポートの全文は、こちらからご覧になれます。

さらに本レポートの詳細を知るには、webinarに登録

Wallarmについて

Wallarmは、アプリとAPIを一体的に扱うセキュリティ企業として、クラウドネイティブ環境で稼働するAPI、ウェブアプリ、マイクロサービス、サーバーレスワークロードを強固に守ります。多くのセキュリティやDevOpsチームに選ばれており、ウェブアプリやAPIエンドポイントを包括的に発見し、API全体にわたる新たな脅威に対応しながらリスク管理を強化するための自動化されたインシデント対応を提供しています。プラットフォームは最新のテックスタックに対応し、クラウドやKubernetes環境など多様な導入オプションを用意するほか、フルクラウドソリューションの提供も行っています。Wallarmはカリフォルニア州サンフランシスコに本社を置き、Toba Capital、Y Combinator、Partechなどの投資を受けています。

貴社のAPIを守る準備はできましたか?

Wallarmは、迅速な開発と安全な運用を実現するために、貴社をサポートします。

プロダクトツアーデモを受ける