API（アプリケーションプログラミングインターフェース）は、システム間の読み取りと書き込みを可能にすることで、現代のソフトウェアにおいて中心的な役割を果たします。APIは、機能性を高めるために業務で頻繁に利用されています。例えば、開発者はJira REST APIを使用して、ユーザーがSlackアプリケーション内でJiraチケットを作成できるようにすることができます。

シャドーAPIとは、開発者によって展開され、組織のITチームによって保護、登録、または監視されていないAPIを指します。シャドーAPIは、攻撃ベクトルを開き、侵害（PandaBuyからのAPI漏洩のケースなど）やシステムの非効率につながる可能性があるため、深刻なセキュリティ脅威となります。

この記事では、シャドーAPIとは何かを説明し、それに伴うリスクに焦点を当てます。また、検出ツールやインベントリーツールを使用して、それらを識別し、リスクを軽減する方法についても説明します。

シャドーAPIとは

シャドーAPIは、セキュリティチームやITチームの関与や監督なしに作成されるAPIです。これらのAPIは必ずしも悪意のあるものではありません。むしろ、多くの場合、開発者はスピードと利便性のためにAPIを作成します。その際、ソフトウェアの調達と管理のための組織の確立されたITプロセスを回避することに伴う固有のリスクが無視されてしまいます。 

従来のAPIとシャドーAPI

組織で適切に管理された従来のAPIには、ドキュメントとガバナンスが伴っています。ITチームはAPIを承認し、リスクプロファイルを追跡および監視できます。ドキュメントはコラボレーションに役立ち（組織の他のメンバーもAPIを使用できます）、ガバナンスは組織のコンプライアンスの監査と認証に役立ちます。

一方、シャドーAPIが組織内で作成されるのは次のような場合です。

• APIドキュメントと登録プロセスが過度に煩雑である

• 開発者が新しいAPIを開発する際にAPIのセキュリティとコンプライアンスの要件を認識していない

• 正式なAPIドキュメントと管理プロセスが不足している

シャドーAPIが監督されていないということは、シャドーAPIが非標準、非準拠、安全でない可能性があり、組織の脅威ポスチャに重大なリスクをもたらす可能性があることを意味します。

シャドーAPIに関連するリスク

シャドーAPIは、セキュリティの脆弱性、コンプライアンスの問題、運用の中断など、組織をさまざまなリスクにさらします。

セキュリティの脆弱性

シャドーAPIには特定のセキュリティ対策が欠如している可能性があり、組織内での監督が行われていないと重大な脆弱性が生じます。例えば、MFA（多要素認証）が設定されていないAPIでは、攻撃者が脆弱な認証情報を使用してアクセスできてしまいます。もう1つの例として、既知の脆弱性を持つコードを実行するAPIが挙げられます。この場合、偶然そのシャドーAPIに遭遇した攻撃者が大きな被害をもたらす可能性があります。これらの脆弱性により、データ侵害や不正アクセスが発生することがあります。

コンプライアンスの問題

組織内で使用されるすべてのAPIをAPI管理システムの一部にし、関連するドキュメントを用意する必要があるもう1つの理由は、組織が規制要件に準拠できるようにすることです。監査中に文書化されていないAPIが発見されると、罰金や認証の取り消しなど、重大な罰則が科せられる可能性があります。例えば、FedRAMPの場合、コンプライアンス違反は政府との契約や顧客の喪失につながることがあります。 

運用の中断 

文書化も監視もされていないAPIに依存しているシステムでは、パフォーマンスと信頼性が低下する可能性があります。例えば、シャドーAPIを使用する重要なビジネスプロセスがあるとします。そのAPIが失敗した場合、問題の原因を特定することは非常に困難になる可能性があります。APIが文書化されておらず不明であるからです。この複雑さにより、効果的なインシデント対応とトラブルシューティングが妨げられ、ダウンタイムの長期化や業務の中断につながります。

シャドーAPIの特定

これらのリスクを踏まえて、組織内のシャドーAPIの存在を特定するためにどのような対策を講じることができるでしょうか。 

• APIディスカバリツールを使用する：専用のツールを活用して、どの形式のAPIインベントリー管理でも追跡されていないAPIを検出します。その一例がSaltです。これは、簡単に実装可能な自動化されたAPIディスカバリツールで、シャドーAPIを見つけることができます。

• APIインベントリーを実装する：PostmanやMuleSoftなど、APIインベントリーを管理するために構築されたシステムにより、組織は単一のシステムでAPIを登録および文書化できます。APIインベントリーはコンプライアンスレポートに不可欠であり、開発者が問題を特定したり既存のAPIと簡単に統合したりするための中央ダッシュボードを提供します。

• 継続的な検出と評価を実行する：開発者はいつでも新しいAPIを展開できるため、ディスカバリツールを継続的に実行して、新しいAPIや使用されなくなった古いAPIをチェックすることが重要です。新しいAPIの導入によって規制の体制や運用の卓越性が損なわれることがないように、これらのAPIを定期的に評価します。

シャドーAPIのリスクの軽減

シャドーAPIに関連するリスクを軽減することは、現代のサイバーセキュリティ対策の重要な要素です。次のプラクティスは、組織のこの取り組みに役立ちます。

プラクティス1：ガバナンスポリシーを確立する 

シャドーAPIの存在を防ぎたい組織は、まずAPIの開発と使用に関するガイドラインの策定から開始できます。例えば、新しいAPIを展開するための標準化されたプロセスを導入します。このプロセスに、ITチームやセキュリティチームへの登録とAPIドキュメントの作成を含める必要があります。もう1つの重要な手順は、API管理フレームワークを実装することです。これにより、すべてのAPIを1か所で表示し、新しいAPIを登録することが容易になります。

プラクティス2：セキュリティのベストプラクティスを採用する 

APIインフラストラクチャを定期的に評価します。これには、ペネトレーションテストだけでなく、依存関係スキャンが組織全体に実装されていることを確認するなどのプロセス評価も含まれます。すべてのAPIに対して基本的なセキュリティのベストプラクティスが確実に実施されることが重要です。これには以下が含まれます。

• 強力なパスワードを使用する

• MFA（多要素認証）を要求する

• 適切なトークン有効期限を適用する

• 最小特権の原則を採用する

プラクティス3：適切なモニタリングとログ記録を実装する

リアルタイムのAPI監視は、ベースラインの使用状況を確立するために不可欠であり、セキュリティチームが疑わしいアクティビティ（通常とは異なる場所や異常な時間帯でのAPIの呼び出しなど）を検出して警告するのに役立ちます。ログ記録は、API呼び出しと使用状況を追跡する簡単な方法であり、開発者とセキュリティ担当者が問題の発生時にデバッグするのに役立ちます。