手動APIペネトレーションテストが莫大なコストをもたらす理由
APIデータ侵害が前年比80%増加し、API呼び出しがウェブトラフィック全体の71%を占め、コンプライアンス要件でペネトレーションテストが求められる状況では、APIペネトレーションテストが不可欠であることは容易に理解できます。しかし、この認識は解決策の半分に過ぎません。
残りの半分は、大金を払うことなくそれをどのように実践するかを正確に理解することです。
APIペンテストは手動で行うべきでしょうか、それとも自動で行うべきでしょうか。どちらのコスト効率が高いでしょうか。その答えは次のセクションでご覧いただけます。
The AI-Powered API セキュリティテスティングプラットフォームの紹介はこちら
お問い合わせはこちら
手動APIペネトレーションテストのコストは何によって決まるか?
侵入テストのコストに影響する主な要因は次の3つです。
1. APIカバレッジ
カバレッジとは、APIエンドポイントの数とAPIシーケンスの数の両方を意味します。
この要素は二次元的であり、その二次元とは幅と深さです。テストするエンドポイントの数が増えるほど、幅が広くなります。また、テストするAPIシーケンスの数が増えるほど、深さも深くなります。
完全または包括的な侵入テストとは、可能な限り広範囲かつ深く調査することを意味します。つまり、テストはより長く、より複雑になり、結果としてよりコストがかかります。
2. テスト頻度
この要因は、ほぼ説明不要でしょう。他の条件が同じであれば、年に一度あるいはごく稀な頻度での検査は、再検査や四半期ごとの検査、ましてや継続的な検査ほどコストがかかりません。
3. ペンテスターの専門知識と評判
ペンテスターの専門知識と評判は、コストに最も直接的な影響を与えます。
組織は、ペンテスターを採用する前から、資格、実績、能力、スキルを確認します。一般的に、高い評判と狭い専門分野は、コストの増加につながります。
ここで言う「より狭い専門性」とは、APIセキュリティテストに特化したペネトレーションテスターのことであり、例えばAPIテストもできるWebアプリケーションのペネトレーションテスターのことではありません。こうした専門家は希少であるため、評判の高いペネトレーションテスト会社や熟練したAPIペネトレーションテスターを見つけるには、莫大な費用がかかることを覚悟しておく必要があります。
価格設定の種類は?
手動のAPIペネトレーションテストは、社内のペネトレーションテスター (組織の従業員として侵入テストを実行するサイバーセキュリティ専門家のチーム) または外部の個々のペネトレーションテスターや侵入テスト会社によって実行できます。
コストの面では、社内テストには定期的な給与、ボーナス、その他の従業員福利厚生が必要になります。
一方、外部テストには、次の3つの基本的な価格モデルが含まれます。
- 固定料金:作業時間に関係なく、明確に定められた金額をお支払いいただきます。メリットは料金体系のシンプルさです。デメリットは、ペンテストの複雑さ、スピード、品質に価格が見合わない可能性があることです。つまり、料金が高すぎることに気付くのが遅すぎるという事態に陥る可能性があります。
- 時間制:作業時間に基づいてお支払いいただきます。このモデルでは、過剰な請求を回避できます。ただし、APIテストに時間がかかりすぎて、目標が効果的に達成されないというリスクがあります。
- クレジットベースの料金体系:1クレジットでテスター1人あたり数時間の作業時間を確保できます。通常、クレジットを多く購入するほど割引が受けられる可能性が高く、多くの組織にとって魅力的です。ただし、このモデルは前述の2つよりも複雑で、必要以上に料金を支払ってしまう可能性があります。
外部またはアウトソーシングによるAPIペネトレーションテストは、非常に高額で、拡張も複雑です。そのため、コストを管理し、割り当てられた予算内に収めるために、テストの範囲を制限したり、最適ではない結果を受け入れたりせざるを得ない場合があります。
手動APIペネトレーションテスト: なぜコストがかかるのか?
手動のAPIペネトレーションテストに莫大なコストがかかる主な理由は4つあります。
1. 検査費用が高い
手動テストの平均コストは、APIアプリケーション1つあたり最大25,000ドルにも達することがあります。しかも、これは1回限りのテストの話です。
しかし、1 回限りのテストはもはや標準とは言えません。
APIがかつてないほど急増し、API攻撃対象領域が大幅に拡大し、API攻撃が急増し、ソフトウェア開発および展開プロセスが大幅に加速されたため、定期的かつ頻繁な侵入テストの実施が新たに推奨されています。
数十、数百ものAPIを年に何度も手動でAPIペンテストする場合のコストを想像できますか?
2. シフトレフト、DevOps、DevSecOps
現在のシフトレフト、DevOps、DevSecOpsといったアプローチには、アジャイル開発と迅速なデプロイメントが含まれます。そのため、CI/CDパイプラインの一部として継続的なセキュリティテストが必要となります。
APIもソフトウェアコンポーネントであるため、常に変化します。APIテストが完了すると、結果を含むレポートが提供されます。ただし、このレポートには、APIの特定の時点の状態のみが示されます。
すぐにこの状態は変化する可能性があり、1ヶ月も経てばテスト結果は事実上時代遅れになり、APIの実際の状態を反映しなくなる可能性があります。そうなると、新たなセキュリティ評価と、場合によっては新たな修復ガイドラインが必要になります。しかも、それを何度も繰り返すことになります。
この観点から、API のペネトレーションテストは継続的なプロセスにする必要があります。しかし、継続的な手動ペネトレーションテストは現実的ではありません。仮に可能だとしても、莫大なコスト増加を招きます。
3. 専門知識またはその欠如
ペネトレーションテスターの需要と供給の比率は極めて不均衡です。APIペネトレーションテスターとなると、状況はさらに悪化します。
APIペンテストには、Webアプリケーションペンテスターの能力や専門知識とは異なる、専門的なスキルと実践経験が必要です。
まず、Webアプリとは対照的に、APIを使用すると、クライアント側とサーバー側のコントロールに依存せずに、ユーザーインターフェイスを超えた直接的な対話が可能になります。
さらに、APIは、異種システムや単一システム内のさまざまなコンポーネントを接続するゲートウェイとして、情報環境で独自の役割を果たします。効率的なセキュリティ テストを保証するには、その微妙な影響を明確に理解する必要があります。
さらに、APIには、REST、SOAP、GraphQL、JSON-RPC、OpenAPIなどの標準に関する詳細な実践的な知識が必要です。
これらの要因などにより、APIペネトレーションテスターは希少な存在となっています。そして、希少で需要の高いものは常に非常に高価です。パラジウムを例に挙げると、非常に希少であるため、非常に高価です。
API侵入テストをアウトソーシングするか、社内で侵入テストを実施する専門家のチームを構築することに成功するかに関係なく、それは大規模で継続的な投資です。
4. 時間と範囲
Equixlyの2023年の調査では、40個のエンドポイントを持つAPIのわずか40%を手動でテストするのに154時間以上、つまり20営業日以上かかることが明らかになりました。
API全体をテストし、できるだけ多くのAPIシーケンスを生成することを想像してください。
さて、大規模なAPIアプリケーションを想像してみてください。詳細な検討には膨大な時間がかかり、継続的な拡張は困難、あるいは不可能でしょう。
さらに良い例として、多数のAPIを抱える大企業を想像してください。その一部は文書化されていないものや、放棄されているものの正式には廃止されていないものもあるでしょう。
サイバーセキュリティとビジネスにおいて、時間は単なる時間ではなく、コストと無駄です。そのため、手動によるAPI侵入テストのコストは、特にAPIカバレッジの不完全さや、脆弱なAPIエンドポイントの文書化不足に起因するAPIデータ侵害の可能性を考慮すると、急速に増大する可能性があります。
自動化されたAPIペンテストは状況を改善するのか?
はい、改善が可能です。その理由は次のとおりです。
- 手動のペネトレーションテストよりも安価です。
- 機械によって実行されるため、高速かつ拡張性に優れています。
- SDLC (ソフトウェア開発ライフサイクル)および CI/CDパイプラインに簡単に統合できます。
- 手動のペンテストに特有の、金銭的および時間的なオーバーヘッドコストがかからないため、継続的なテストに適しています。
- 一貫して効率的であり、つまり、個人の専門知識に依存しません。
- 実行には高度な技術的スキルは必要ありません。
- スキルや労働力の格差の影響を受けません。
Equixlyを例に挙げましょう。
Equixlyは、手動ペネトレーションテストと比較しのほんの一部のコストで済むAPIペネトレーションテストツールです。
Equixlyは機械学習を活用し、独自のAIエンジンを使用しているため、APIシーケンスを理解し、ロジックの脆弱性だけでなく、インジェクションなどの技術的な問題も検出できます。また、環境内の新たな脆弱性、ゼロデイ脆弱性の痕跡も検出できます。
EquixlyのAIエンジンにより、大量のデータを数日や数週間ではなく数時間で処理できるため、人間のペネトレーションテストよりもはるかに高速になります。
さらに、Eqiuxlyは文書化されていないAPIエンドポイントを検出できます。APIセキュリティリスクに自ら取り組み、その重大さを実際に実感した経験豊富なチームによって開発された、特化したAPIセキュリティソリューションであるため、侵入テストの実施時にはOWASP APIセキュリティ トップ10リスクフレームワークに準拠しています。
Equixlyのような自動化されたAPIペネトレーションテストソリューションはコスト効率が非常に高く、手動の侵入テストよりもROIがはるかに高くなります。
これは一体何を意味するのでしょうか?
手動APIテストを廃止すべきだと主張しているわけではありません。むしろ、TLPT(threat-led penetration testing:脅威主導ペネトレーションテスト)を実施する予定がある場合など、特定のケースでは手動APIテストは必須です。
むしろ、私たちが言いたいのは、CI/CDにおけるセキュリティテスト、継続的テスト、高頻度テスト、そして専門家が著しく不足している環境でのテストなど、自動化されたAPIペネトレーションテストが最も効果的な領域に導入すれば、コストを大幅に削減できるということです。それ以外の状況では、手動のAPIペネトレーションテストが効果的です。
自動テストを定期的に実行し、手動テストを時々実行するなど、両方を使用することを決定した場合でも、自動テストによってコストを大幅に削減できます。
Equixly が侵入テストのコストを削減し、開発から本番環境まで脆弱性に対処する方法について詳しく知りたい場合は、お問い合わせください。
※この記事はEquixly社ブログを日本語化したものです。
※この記事の無断複写及び転載を禁じます。
※原文:https://equixly.com/blog/2025/01/15/financial-institutions-apis/