- Community Home
- >
- HPE Community, Japan
- >
- HPE Blog, Japan
- >
- AIエージェント活用の本格化を機に検討するべきAPIセキュリティ対策
カテゴリ
Company
Local Language
フォーラム
ディスカッションボード
フォーラム
- Data Protection and Retention
- Entry Storage Systems
- Legacy
- Midrange and Enterprise Storage
- Storage Networking
- HPE Nimble Storage
ディスカッションボード
フォーラム
ディスカッションボード
ディスカッションボード
ディスカッションボード
フォーラム
ディスカッションボード
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
- BladeSystem Infrastructure and Application Solutions
- Appliance Servers
- Alpha Servers
- BackOffice Products
- Internet Products
- HPE 9000 and HPE e3000 Servers
- Networking
- Netservers
- Secure OS Software for Linux
- Server Management (Insight Manager 7)
- Windows Server 2003
- Operating System - Tru64 Unix
- ProLiant Deployment and Provisioning
- Linux-Based Community / Regional
- Microsoft System Center Integration
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
フォーラム
ブログ
AIエージェント活用の本格化を機に検討するべきAPIセキュリティ対策
デジタル技術を活用した業務改革において今注目を集める「生成AI」。単体で利用しても大きな効果をもたらしますが、昨今では「AIエージェント」としてより有効活用するために、APIを利用して社内システムや他のサービスとシームレスな連携を行うケースも増えています。しかし、API利用が増えれば、そのためのセキュリティ対策も検討していかなければなりません。具体的にどのようなリスクがあり、またどのような対策方法があるのかを本記事にて解説します。
AIエージェントの普及とAPIの重要性
ChatGPTなどのLLMの利用が身の回りで広がる中、AIエージェントを業務で活用する動きが活発化しています。その活用方法や取り組みは企業によって異なりますが、社員の作業効率化の取り組みからスタートするケースが多く見られます。
具体的なユースケースの一つが膨大な社内文書の要約や抽出です。メールや議事録、各種業務文書の中から、自分に必要な項目を素早く取り出したり、要点をまとめたりする際に、AIエージェントを活用しています。
AIエージェントの進化は目覚ましく、日々利用するシステムやツールに組み込まれて提供されるケースが増えてきました。例えば、MicrosoftのCopilotやGoogleのGeminiにもAIエージェント機能が追加されるなど、日々の業務で簡単に利用できる環境が整いつつあります。今後は、CRMやSFA、プロジェクトマネジメントツール、セキュリティソフトなどにもAIエージェントが組み込まれ、利用者が意識せずに業務に活用できるようになるでしょう。
AIエージェントの利用に伴って増えるAPIアクセス
このようにAIエージェントが普及する中で、より重要性を増してきたのがAPI(Application Programming Interface)です。APIはあるシステムから他のシステムのデータや機能を参照して利用できる仕組みです。これを応用することで、例えば顧客管理や営業支援、経費精算などのSaaSを他のシステムと連携しながらより利便性の高い業務を行えるようになります。
ChatGPTをはじめとする生成AIサービスも、その多くは生成AI機能を利用できるAPIを公開しています。そのため、その機能を社内システムなどに組み込んでAIエージェントとして利用することも可能です。もちろん、社内システムに限らず、すでに多くの商用サービスでAIエージェント機能を付加するためにこのAPIがサービスに組み込まれています。これらもユーザーからは見えていませんが、バックエンドシステムでは、AIエージェントへAPIを経由してアクセスし、ユーザーへ情報を返しています。
このように、APIはAIエージェントを活用するためのインターフェースとして極めて重要であり、現在もさまざまなユーザーやデバイスから膨大な量のAPIリクエストを日々処理している状況にあります。
AIエージェントがもたらすAPIセキュリティリスク
AIエージェントの活用および、APIを介した同サービスの利用に伴ってAPIリクエストが増える中で、重要になってきたのがAPIセキュリティです。APIを利用するにあたっては、さまざまなセキュリティリスクに対処していく必要があります。この部分が不十分な状態のまま利用していると、サービスを利用する従業員や顧客、取引先に重大な被害が発生する恐れもあります。
APIセキュリティについては、セキュリティ向上に取り組むコミュニティOWASP(Open Worldwide Application Security Project)が2023年にWeb APIの脅威を「API Security Top 10」としてまとめています。具体的には以下の通りです。
- オブジェクトレベルの認可の不備(BOLA)
- 認証の不備
- オブジェクトプロパティレベルの認可の不備
- 制限のないリソース消費(DoSなど)
- 機能レベルの認可不備(BFLA)
- 機密性の高いビジネスフローへの制限のないアクセス
- サーバーサイド・リクエスト・フォージェリ(SSRF)
- セキュリティの設定ミス
- 不適切なインベントリ管理
- APIの安全でない利用
上記の中にも見られるように、APIセキュリティのリスクとしては、「認証・認可」というキーワードが見られます。またAPIを原因とするセキュリティ事故はサイバー攻撃者の巧みな攻撃によるものでなく、単なる設定不備・ミスによって起こるものも存在します。
その一つが、AIエージェントを利用した際に起きうるセキュリティリスクです。利用するサービスや設定によっては、自分が入力したデータがAIの学習に利用されてしまう場合があり、その場合、もしユーザーが機密情報を含むデータを入力してしまうと、情報漏えいにつながってしまう恐れがあります。
また、API利用にあたっては、APIキーやアクセストークンを適切に管理しなければなりません。これが何らかの形で第三者に漏れた場合、AIエージェント機能に不正にアクセスされるリスクが生じてしまいます。その他、サイバー攻撃とは別の観点ですが、大量にAPIの呼び出しを行うことでリソースを圧迫し、コストが増大してしまう場合があります。
AIエージェントに関連したAPIセキュリティリスクとしては、もう一つ別の観点もあります。企業によっては、自社が利用しているSaaS内の情報を抽出してシステム連携するためにAPIを活用しているケースも多いでしょう。
こうして取得したデータをAIエージェントへのインプットとして用いることでより業務の利便性を向上させることができますが、もし連携先のSaaSが重要な情報を使う場合は、機密情報流出につながる恐れがあります。各システムから無差別にAIにデータがインプットされないような統制を効かせる必要があります。
社内システムやSaaSなどの情報をAPIで取得しAIエージェントと連携する際に生じがちな課題
APIセキュリティを確保するための具体的な対策
では、こうしたリスクに対応するために、実際にどのようにAPIセキュリティを実装していけばよいのでしょうか。APIセキュリティ対策の一つとして有効なのが、「認証・認可」です。つまり、APIにアクセスするユーザーやシステムが正当なものかを担保する必要があります。
この認証・認可のプロセスに関して、APIでアクセスする先のサービスごとにその仕組みを構築してしまっては、セキュリティの統一性を確保できない可能性があります。そこで、複数存在するサービス間連携の認証・認可の仕組みとしては、業界団体が策定した標準化された技術であるOpenID Connect(OIDC) などに準拠したソリューションで一元管理することが有効です。
その他にもAPIセキュリティ対策としては、APIを介して送られてくる通信内容を検証したり、通信の暗号化を行ったりすることで通信の傍受を防ぐ対策もあります。また、APIへのリクエスト数を制限したり、APIリクエストのログを常時監視して不正な動きがないかなどを監視するといった対策があります。このための具体的なツールとしては、Webアプリケーションファイアウォールやログ監視製品などがあります。
AIエージェントを始め、APIの活用が急速に広がる今はあらためて自社のAPIセキュリティを見直す良い時期と言えるかもしれません。もちろん、安全性の確保が最優先ですが、ビジネスを加速させるためには同様に柔軟性や拡張性にも目を向ける必要があります。HPEが提供している「HPE IceWall」は優れたカスタマイズ性で、お客様に最適な認証・認可環境を実現します。APIセキュリティ強化の際は、ぜひIceWallもご検討ください。
関連記事:拡大するAPIエコノミー:高まる「APIセキュリティ」の重要性とOpenID Connectが担う役割とは?
- ブログへ戻る
- より新しい記事
- より古い記事
- kkuma 場所: HPE Linux技術情報サイトの歩き方~CentOS代替ディストビューション情報について~
- 土井康裕 場所: 篠田の虎の巻「PostgreSQL 15 GA 新機能検証結果」公開!
- MiwaTateoka 場所: Windows Server 2019のCertificate of Authenticity (C...
- 今更感 場所: 【連載】導入前のアドバイス – アレイコントローラー
- OEMer 場所: タイトル: HPE OEM Windows Serverのライセンスに関する質問にすべて回答しましょ...
- いわぶちのりこ 場所: 【連載】次世代ハイパーコンバージド「HPE SimpliVity」を取り巻くエコシステム ー 第3回...
- Yoshimi 場所: ジェフェリー・ムーア氏からのメッセージ - 未訳の新著 "Zone To Win" を解説! (2)...
- Yoshimi 場所: ジェフェリー・ムーア氏からのメッセージ - 未訳の新著 "Zone To Win" を解説! (...
- 三宅祐典 場所: 「HPE Synergy」 発表! ~ (3) この形・・・ ブレードサーバー??