HPE Blog, Japan
1823998 メンバー
3621 オンライン
109667 解決策
新規ポスト
IceWall_Mktg

AIエージェント活用の本格化を機に検討するべきAPIセキュリティ対策

デジタル技術を活用した業務改革において今注目を集める「生成AI」。単体で利用しても大きな効果をもたらしますが、昨今では「AIエージェント」としてより有効活用するために、APIを利用して社内システムや他のサービスとシームレスな連携を行うケースも増えています。しかし、API利用が増えれば、そのためのセキュリティ対策も検討していかなければなりません。具体的にどのようなリスクがあり、またどのような対策方法があるのかを本記事にて解説します。

 

AIエージェントの普及とAPIの重要性

 ChatGPTなどのLLMの利用が身の回りで広がる中、AIエージェントを業務で活用する動きが活発化しています。その活用方法や取り組みは企業によって異なりますが、社員の作業効率化の取り組みからスタートするケースが多く見られます。

具体的なユースケースの一つが膨大な社内文書の要約や抽出です。メールや議事録、各種業務文書の中から、自分に必要な項目を素早く取り出したり、要点をまとめたりする際に、AIエージェントを活用しています。

 AIエージェントの進化は目覚ましく、日々利用するシステムやツールに組み込まれて提供されるケースが増えてきました。例えば、MicrosoftCopilotGoogleGeminiにもAIエージェント機能が追加されるなど、日々の業務で簡単に利用できる環境が整いつつあります。今後は、CRMSFA、プロジェクトマネジメントツール、セキュリティソフトなどにもAIエージェントが組み込まれ、利用者が意識せずに業務に活用できるようになるでしょう。

 

AIエージェントの利用に伴って増えるAPIアクセス

 このようにAIエージェントが普及する中で、より重要性を増してきたのがAPIApplication Programming Interface)です。APIはあるシステムから他のシステムのデータや機能を参照して利用できる仕組みです。これを応用することで、例えば顧客管理や営業支援、経費精算などのSaaSを他のシステムと連携しながらより利便性の高い業務を行えるようになります。

 ChatGPTをはじめとする生成AIサービスも、その多くは生成AI機能を利用できるAPIを公開しています。そのため、その機能を社内システムなどに組み込んでAIエージェントとして利用することも可能です。もちろん、社内システムに限らず、すでに多くの商用サービスでAIエージェント機能を付加するためにこのAPIがサービスに組み込まれています。これらもユーザーからは見えていませんが、バックエンドシステムでは、AIエージェントへAPIを経由してアクセスし、ユーザーへ情報を返しています。

 このように、APIAIエージェントを活用するためのインターフェースとして極めて重要であり、現在もさまざまなユーザーやデバイスから膨大な量のAPIリクエストを日々処理している状況にあります。

 

AIエージェントがもたらすAPIセキュリティリスク

 AIエージェントの活用および、APIを介した同サービスの利用に伴ってAPIリクエストが増える中で、重要になってきたのがAPIセキュリティです。APIを利用するにあたっては、さまざまなセキュリティリスクに対処していく必要があります。この部分が不十分な状態のまま利用していると、サービスを利用する従業員や顧客、取引先に重大な被害が発生する恐れもあります。

 APIセキュリティについては、セキュリティ向上に取り組むコミュニティOWASPOpen Worldwide Application Security Project)が2023年にWeb APIの脅威を「API  Security Top 10」としてまとめています。具体的には以下の通りです。

  • オブジェクトレベルの認可の不備(BOLA
  • 認証の不備
  • オブジェクトプロパティレベルの認可の不備
  • 制限のないリソース消費(DoSなど)
  • 機能レベルの認可不備(BFLA
  • 機密性の高いビジネスフローへの制限のないアクセス
  • サーバーサイド・リクエスト・フォージェリ(SSRF
  • セキュリティの設定ミス
  • 不適切なインベントリ管理
  • APIの安全でない利用

 上記の中にも見られるように、APIセキュリティのリスクとしては、「認証・認可」というキーワードが見られます。またAPIを原因とするセキュリティ事故はサイバー攻撃者の巧みな攻撃によるものでなく、単なる設定不備・ミスによって起こるものも存在します。

 その一つが、AIエージェントを利用した際に起きうるセキュリティリスクです。利用するサービスや設定によっては、自分が入力したデータがAIの学習に利用されてしまう場合があり、その場合、もしユーザーが機密情報を含むデータを入力してしまうと、情報漏えいにつながってしまう恐れがあります。

また、API利用にあたっては、APIキーやアクセストークンを適切に管理しなければなりません。これが何らかの形で第三者に漏れた場合、AIエージェント機能に不正にアクセスされるリスクが生じてしまいます。その他、サイバー攻撃とは別の観点ですが、大量にAPIの呼び出しを行うことでリソースを圧迫し、コストが増大してしまう場合があります。

 AIエージェントに関連したAPIセキュリティリスクとしては、もう一つ別の観点もあります。企業によっては、自社が利用しているSaaS内の情報を抽出してシステム連携するためにAPIを活用しているケースも多いでしょう。

こうして取得したデータをAIエージェントへのインプットとして用いることでより業務の利便性を向上させることができますが、もし連携先のSaaSが重要な情報を使う場合は、機密情報流出につながる恐れがあります。各システムから無差別にAIにデータがインプットされないような統制を効かせる必要があります。

後編-250121_(図版完成)APIセキュリティと生成AI.jpg社内システムやSaaSなどの情報をAPIで取得しAIエージェントと連携する際に生じがちな課題

 

APIセキュリティを確保するための具体的な対策

 では、こうしたリスクに対応するために、実際にどのようにAPIセキュリティを実装していけばよいのでしょうか。APIセキュリティ対策の一つとして有効なのが、「認証・認可」です。つまり、APIにアクセスするユーザーやシステムが正当なものかを担保する必要があります。

  この認証・認可のプロセスに関して、APIでアクセスする先のサービスごとにその仕組みを構築してしまっては、セキュリティの統一性を確保できない可能性があります。そこで、複数存在するサービス間連携の認証・認可の仕組みとしては、業界団体が策定した標準化された技術であるOpenID Connect(OIDC) などに準拠したソリューションで一元管理することが有効です。

その他にもAPIセキュリティ対策としては、APIを介して送られてくる通信内容を検証したり、通信の暗号化を行ったりすることで通信の傍受を防ぐ対策もあります。また、APIへのリクエスト数を制限したり、APIリクエストのログを常時監視して不正な動きがないかなどを監視するといった対策があります。このための具体的なツールとしては、Webアプリケーションファイアウォールやログ監視製品などがあります。

 AIエージェントを始め、APIの活用が急速に広がる今はあらためて自社のAPIセキュリティを見直す良い時期と言えるかもしれません。もちろん、安全性の確保が最優先ですが、ビジネスを加速させるためには同様に柔軟性や拡張性にも目を向ける必要があります。HPEが提供している「HPE IceWall」は優れたカスタマイズ性で、お客様に最適な認証・認可環境を実現します。APIセキュリティ強化の際は、ぜひIceWallもご検討ください。

 

関連記事:拡大するAPIエコノミー:高まる「APIセキュリティ」の重要性とOpenID Connectが担う役割とは?

 

0 感謝
作者について

IceWall_Mktg

コラム:氷壁エキスパートノート |  HPEの認証・認可プラットフォーム「HPE IceWall」を開発するIceWallビジネス推進部が、認証にまつわる新常識を発信します。