APIワールド2023：API、AI、および秘密のセキュリティを結集する

『APIワールド2023：API、AI、そして秘密のセキュリティが融合する』

ほとんどの人々がサンタクララを思い浮かべるとすぐに、それはサンフランシスコ49ersを思い浮かべます。なぜなら、そこに彼らのスタジアムがあるからです。また、1970年代から人々を楽しませ続けてきたカリフォルニアのグレートアメリカを思い浮かべるかもしれません。多くのテック企業が本社を構えるサイリコンバレーの重要な一部と見なされるため、Advanced Micro Devices、Intel、Nvidiaを含む、多くの人々が思い浮かべます。10月末にそこに集まった数千人の人々にとって、API World 2023のおかげで、それは常にAPIおよびAIの進歩と関連付けられるでしょう。

今年のイベントは、AI Dev Worldと一緒に開催され、関連性の高い両分野の実践者が集まりました。この数年の人工知能とLLM（大規模学習モデル）の最大のイノベーションは、OpenAIのChatGPTやIBM WatsonなどのサービスへのAPI統合に関わっています。人工知能を開発するということは、APIを構築・維持することでもあるようです。

#APIWorld #AIDevWorld

3日間のイベントでは70人以上のスピーカーが参加しました。この記事では詳しく取り上げるにはあまりにも多すぎますが、いくつかのハイライトを紹介します。

• ピザの味を最大限に引き出すために
• アマゾンがベッドロックを展開：AIモデルの評価と人間のベンチマーキング
• 「マルチモーダル人工知能とは？その応用と使用例」という文章です

AIの未来は予測不能です

オープニングキーノートセッション「AIの時代における発明、イノベーション、そして破壊を航海する」で、デロイトコンサルティングのKhurram LatifさんとJustin Hizaさん、Michaël Chaizeさんが、AIを活用した製品についての興奮する方法や技術の未来についていくつかの考えを共有しました。

Shutterstockはストックコンテンツ会社であり、画像、動画、音声、その他多くのメディアを提供しています。彼らはAIを数年間使用しており、主にサイト上の関連コンテンツの分類や提案に使用しています。一方、コンテンツの個別化に使用する生成AIは新しい取り組みです。そのため、彼らはデロイトと提携しました。

彼らは、ユーザーが提示したプロンプトに基づいて既存のコンテンツをカスタマイズする「マジックブラシ」機能などの例を示しました。たとえば、「ブランドの色に合った帽子」を着用する必要がある場合、AIに要求内容を伝えるだけで、配置やライティングの修正などすべてのタッチアップを数秒で行います。もう一つは、与えられた画像からテーマを導き出し、リクエストしたテキストを画像のテーマに完全に合わせるカスタムテキスト作成の例でした。

チームは、一緒に多くのAIプロジェクトに取り組む中で学んだいくつかの重要なポイントを共有しました。最も重要な教訓の一つは、私たちは全ての答えのない世界に入っているということです。彼らは、AIの能力に関わらず、何がうまくいくか、何がうまくいかないかを推測することは基本的に不可能だと結論づけました。

効果的なのは、迅速にプロトタイプを作成し、できるだけ早くフィードバックを得ることです。顧客の目標と目的から始め、エンジニアリングに対してそれらの目的に向かうアイデアの概念証明を提供しました。最終的には、AIのイノベーションが価値あるものかどうかは顧客が判断します。

#APIWorld は、#ShutterStock とデロイトによる最初のワークショップとともに正式に開始されました。「AIの時代における発明、イノベーション、そして破壊を航海する」を Khurram Latif、Justin Hiza、Michaël Chaize が発表しました。

良いAPIセキュリティはツールだけでは成立しません

API Worldの参加者は、42CrunchのField CTO兼共同創業者であるイザベル・モーニーの異なる3つの講演を楽しむことができました。 これらの講演では、APIセキュリティの重要性と最近更新されたOWASP API Top 10の活用方法について強調されました。

彼女の最初の講演「Common API Security Pitfalls: Learning from Others’ Mistakes」では、APIを利用したセキュリティインシデントについて複数の事例を挙げながら説明しました。その中には、APIを介してハッカーが数千枚の無料ビールクーポンを印刷できるようになったマイクロブルワリーや、認証が実装されていなかった大学の物理的アクセス制御システムを通じて、アカウントを持つ者は誰でも管理者権限を取得することができた事例などが含まれています。彼女はこれらの事例を通じて指摘した主な問題は、APIセキュリティが事後に考慮されることであったとまとめました。一般的なOWASP Top 10からセキュリティ作業を開始することは良いですが、プロセスの早い段階でOWASP API Top 10によって提示される問題に焦点を当てる必要があります。

その後、彼女はAPIセキュリティにおけるより大きな文化的課題について掘り下げました。彼女のセッション「Why So Many API Security Solutions Have Failed to Deliver」では、多くの組織が管理しているAPIの数を把握していないという大きな懸念があると述べました。これはガバナンスの欠如、トレーニングの不足、そして問題をテクノロジーツールで解決しようとする傾向によるものです。良いガバナンスは、APIの適切な構築方法、存在を報告し、セキュアにするためのドキュメントを作成し、共有することを意味します。

「Common API Security Pitfalls: Learning from Others’ Mistakes」 by イザベル・モーニー at #APIWorld

APIのセキュリティはアプリの関心事ではありません

アカマイのセキュリティ戦略CTOであるパトリック・サリバンのセッション「Research Revelations: Emerging API Threats & How to Mitigate Them」でも、OWASP API Top 10を活用してAPIセキュリティに対処することが再度提案されました。彼は、OWASPが従来注力してきた従来のアプリケーションセキュリティはWAFルールとゲートウェイに依存していましたが、APIの脅威は異なると強調しました。APIはデータスクレイピングやネットワークのマッピング支援、DoS攻撃の容易な実行などに利用される可能性があります。

セキュリティアプローチのもう一つの大きな違いは、従来のアプリケーションセキュリティはアプリ自体が担当するものであり、アプリはAPIのセキュリティを確保する義務を負わないということです。彼はAPIの脆弱性について誰かに問い詰められた際に最もよく耳にするのは、「それはアプリが担当すると思っていた」という言葉だと述べました。特に認可に関しては、従来のアプリでは要件が満たされた場合のみリクエストが成功するようにロジックを組み込みますが、ほとんどのAPIでは認証ができる者はほぼどんな呼び出しも行うことができます。このセキュリティの側面を開発者自身がコードで処理する必要があります。

Research Revelations: Emerging API Threats & How to Mitigate Them by パトリック・サリバン, アカマイのセキュリティ戦略CTO at #APIWorld

単なる喜びのテストパスを追いかけるだけではありません

APIsecの創設者であるダン・バラホナは、「Why You Should Hack Your Own APIs」というセッションで、APIセキュリティの最大の問題はテストの不足ですと述べました。APIは自分が望む動作をするかどうかをテストすることがしばしば行われますが、ダンは言います、それが設計上の動作と異なるかをテストしないことがあります。私たちはしばしば望ましいパスを辿る傾向がありますが、代わりに攻撃者のように考え、予期せぬ振る舞いを強制することができるかどうかを確認する必要があります。

彼は、最近のAPIセキュリティの失敗例についていくつかの具体例を挙げましたが、そのうちのほとんどは認可に関連する論理的な欠陥によるものでした。彼が挙げた企業には、Coinbase（研究者が企業を終わらせる可能性のあった欠陥を見つけたために25万ドルを支払われた）、Duolingo（ユーザーIDを推測することで260万人のユーザーのメールアドレスと名前が盗まれた）、およびPeleton（認可の欠陥により400万人以上のユーザーデータが流出した）が含まれています。

APIセキュリティにおいて、私たちの仕事は問題点を発見することです。OWASP API Top 10から始めることが良いと聞きましたが、意図しない使用方法の一貫した自動テストが必要とのことです。彼は自身のベストプラクティストップ10を短時間で紹介しました。それは彼らが無料のコースで使用しているもので、APISEC Universityで提供されています。

1. ガバナンスから始める。2. APIエコシステムを理解する。3. セキュリティと開発チームがコミュニケーションを取る。4. APIのドキュメントは譲れない。5. API開発者やオーナーにAPIセキュリティのトレーニングを行う。6. API管理を一元化する。7. 何に対しても信頼しない；全てを検証する。8. セキュリティのためにUIに頼らない。9. 認証は認可ではない。認可はロジックで行う必要がある。10. 可能な限り本番前のテストを自動化する。

「自分のAPIをハックすべき理由」- APIsecの創設者Dan Barahonaによる講演 #APIWorld

APIセキュリティのためのパープルチームの必要性

アプリケーションはタコのようなものです。それはThreatXのセキュリティ戦略＆フィールドCISOであるJeremy Venturaが「Red + Blue = Purple: APIセキュリティに関する戦略」というセッションで述べた言葉です。タコのように、アプリケーションを動かして世界とやり取りするための中心となる体と頭があります。APIはそれぞれの伸びた腕のようなもので、タコを動かしたり世界と相互作用させるためのものです。

伝統的な「ブルーチーム」はセキュリティ上の中央アプリケーションを守ることに焦点を当てていますが、腕自体には関与していません。レッドチームは可能な限りあらゆる経路を通じて侵入しようとすることに焦点を当てています。API呼び出しは現在、Webトラフィックの80％以上を担当しているため、これが新しい戦闘地帯であることは明らかです。私たちは中間地点で出会い、APIのセキュリティを確保し、弱点を見つけることに重点を置かなければなりません。

Jeremyは、ほとんどの組織が管理しているAPIの数を把握していないという最大の問題の1つは、「ゾンビAPI」の世界を作り出してしまうことです。これらのAPIは廃止すべきであるにもかかわらず、パッチが当てられておらず、未だに呼び出しを行うことができます。平均的なクライアントとの契約では、彼らが最初に考えていたAPIの数よりも8倍以上の数を発見するとのことです。

OWASP APIトップ10に加えて、Jeremyによれば、ほとんどのAPIに対してレート制限やログの管理が必要です。ログを保持しているだけでは十分ではなく、疑わしいアクティビティに活動的に対応する必要があります。これらの問題に対処する最も実効性のある方法は、共同で取り組み、ポリシーを設定し、人々をトレーニングし、開発プロセスの早い段階でより良いテストツールを使用することです。技術は重要であると認識しつつも、セキュリティ上の懸念を解決する際には常に人々を最優先に考えるようにしましょう。

「Red + Blue = Purple: APIセキュリティに関する戦略」- ThreatXのセキュリティ戦略およびフィールドCISOであるJeremy Venturaによる講演 #APIWorld

良いセキュリティは、自分が何を持っているかを知ることから始まる

このイベント全体を通じて、APIやAIセキュリティに関するセッションでは、ほぼすべてのスピーカーがセキュリティの旅において自社の資産を理解することの重要性に言及しました。なぜなら、それを知らない場合、それを守ることはできないからです。これは私がGitGuardianのSecret Management Maturity Modelに基づいて行った「秘密の乱立と秘密管理の成熟度を探求する: あなたは秘密の存在を知っていますか？」というセッションでもふれたテーマです。トークの一部では、成熟した組織は自身の秘密がどこに存在するかを知るだけでなく、HashiCorpのVault EnterpriseやDopplerなどの秘密管理サービスを通じてその作成と使用の監査とモニタリングを行えることを見ていきました。

また、コードや他の平文ではないべき場所に存在する秘密を知ることも重要です。これは自動化された秘密スキャンが役に立ちます。たとえば、リポジトリをGitGuardian Secret Detectionプラットフォームに接続すると、過去のスキャンを実行し、ギットの履歴においてそれらの秘密の存在箇所を知らせてくれます。そこから、新たな秘密が領域に入ってくるのをアクティブに監視し、その場所をお知らせします。

秘密管理、APIセキュリティ、AIセキュリティにおいて、事後にセキュリティを付け加えることは選択肢ではありません。開発ライフサイクルの早い段階でOWASP API Top 10で挙げられた脆弱性に取り組み、すべての問題を技術だけで解決できるものとは考えないでください。また、人々がトレーニングされるような良いプロセスを作り出す良いガバナンスも必要です。私たちはコードとAPIのセキュリティを確保するためにまだまだ進むべき道のりがありますが、お互いに学び合いながら最善の方法を見つけることができるでしょう。

We will continue to update VoAGI; if you have any questions or suggestions, please contact us!