Your browser is not supported

For the best experience, use Google Chrome or Mozilla Firefox.

APIセキュリティとは

API(アプリケーションプログラミングインターフェイス)はデジタルトランスフォーメーション戦略の主要部分をなし、そういったAPIのセキュリティ確保が最大の課題です。APIは広く理解されていない急速に成長する攻撃面であり、また開発者やアプリケーションセキュリティマネージャーに見過ごさることがあります。

APIとは

OWASP API セキュリティプロジェクトにこれを任せましょう。「APIは現代のモバイル、SaaS、ウェブアプリケーションの重要部分であり、また顧客対応用、パートナー対応用、社内用のアプリケーションに見られます。もともと、APIはアプリケーションロジックと、個人情報(PII)などの機密情報を公開し、このためますます攻撃者の標的になりつつあります。セキュアなAPIなしに、迅速な改革は不可能です。」

APIベースのアプリはどう違うのか

こちらも、OWASPからです。

  • サーバーはデータのプロキシとして使われることが増えている
  • レンダリングのコンポーネントは、クライアントで、サーバーではない
  • クライアントは生データを消費する
  • APIはアプリの基本的な実装を公開する
  • ユーザーの状態は通常、クライアントが維持して監視する
  • 各HTTPリクエストに送信されるパラメーターが増えている(オブジェクトID、フィルター)

APIセキュリティが一般のアプリケーションセキュリティとどう異なるのか

APIセキュリティはAPIのユニークなセキュリティリスクを軽減する戦略を重要視しています。従来の脆弱性はAPIベースアプリにはあまり一般的ではありません。

  • SQLi – ORMの使用の増加
  • CSRF – クッキーの代わりに認証ヘッダー
  • Path Manipulations – クラウドベースストレージ
  • 古典的なITセキュリティ問題 - SaaS

なぜAPIセキュリティが重要なのか

ビジネスがサービスに接続してデータを転送するためにAPIを使うため、APIセキュリティは重要です。そのため、ハッキングされたAPIはデータ漏洩に繋がりかねません。Micro Focus Fortifyの2019年版アプリケーションセキュリティリスクレポートによると、APIの濫用問題は過去4年のうちにほぼ2倍になっています。2018年のデータでは、解析されたウェブアプリケーションの35%にAPI濫用問題があると示しており、モバイルアプリケーションでは発生率が52%まで増加しています。

APIセキュリティテストはApplication Security TestingのためのGartner MQのイノベーションファクターのひとつです。

組織は、、、より従来型に近い一体型ウェブアプリケーションから、クライアント側のJavaScriptを乱用するような(さらに数多くのサーバー側のAPIを呼び出す)、あるいはマイクロサービスアーキテクチャを活用するような現代に近いアプリケーションへ移行しています。これにより、小さめの重複しない機能ユニットになり、またそういったマイクロサービスと連動するウェブAPIの爆発的増加によく陥ります。APIのセキュリティテストは、APIを自動検索し、テストを行うために、現在のDASTやSAST技術が提供する機能より優れた機能を必要としている組織にとって当面の課題です。

OWASP APIセキュリティのトップ10

OWASPは最近、APIセキュリティのトップ10リリース候補を発表しました。OWASP APIセキュリティプロジェクトの詳細をご覧ください(また、Quick Linksセクションのプレゼンテーションデッキもご覧ください)。トップ10はこちら:

  • API1 - 破損したオブジェクトレベルの認証
  • API2- 破損したユーザー認証
  • API3 - 過度なデータ露出
  • API4 - リソースと速度の制限の欠如
  • API5 - 破損した機能レベルの認証
  • API6 - マスアサインメントAPI7 セキュリティの設定ミス
  • API8 - インジェクション
  • API9 - 不適切な資産管理
  • API10 - 不適切なログ記録とモニタリング

APIセキュリティをサポートするMicro Focus

Fortify、Fortify WebInspectでAPIをスキャン:

  • WebInspectは統合された迅速な自動の動的分析を用いて、ウェブアプリケーションやAPIで利用される可能性のある脆弱性を検知します。
  • OpenAPI(Swagger)のサポートで、基本のAPIをほんの数秒でスキャンします。
  • さらに高度なAPIスキャンシナリオには、WebInspectのPostmanインテグレーションを用いて、固有のワークフロー、複雑な認証、カスタムのパラーメータ要件をサポートします。

Fortify Unplugged YouTubeチャンネルでデモを視聴:

NetIQ Secure API Managerの動作について

  • Secure API Managerは、企業で使用するAPIを作成、管理、安全確保、計測するひとつのソリューションを提供します。Access Manager™と連動して、Secure API Managerは総合的なアクセスとセキュリティソリューションを、すべてのウェブ、モバイル、APIアクセス要件に提供します。
  • 詳細: NetIQ API Managerデータシート
Fortifyアプリケーションセキュリティ

エンドツーエンドのアプリケーションセキュリティテスト。

詳細はこちら
Fortify on Demand (FoD)

Fortify on Demandは、SAST、DAST、IAST、RASP、SCA(オープンソースセキュリティ)と開発者セキュリティトレーニングを備えた完全なアプリケーションセキュリティ・アズ・ア・サービス(AppSec SaaS)ソリューションを提供します。

詳細はこちら
Fortify Static Code Analyzer

Fortify Static Code Analyzerを搭載したStatic Application Security Testing(SAST)は、悪用される可能性があるソースコードのセキュリティの脆弱性を特定します。

詳細はこちら
Fortify WebInspect

Fortify WebInspectの動的アプリケーションセキュリティテスト(DAST)ソフトウェアは、ウェブアプリケーションで利用される可能性のある脆弱性を検出して優先順位をつけます。

詳細はこちら
Fortify Application Defender

Fortify Application Defender ランタイムアプリケーション自己保護セキュリティ(RASP)は、製品アプリケーションを一般的な攻撃や脆弱性から保護します。

詳細はこちら
Fortify Software Security Center

Fortify Software Security Centerは、SAST、DAST、IAST、RASP、SCAを対象とするAppSecプログラム全体への可視性を備えたアプリケーションセキュリティテストを統合して自動化します。

詳細はこちら

補足資料

アプリケーションセキュリティとは
DevSecOpsとは
オープンソースセキュリティとは
Fortify Unplugged YouTubeチャンネル
Fortifyインテグレーションエコシステム
Fortifyコミュニティ
ウィキペディアより: ウェブAPIセキュリティ
TechBeacon記事: OWASP APIセキュリティ トップ10: 開発チームにスピードを
TechBeacon記事: APIセキュリティのための8つの重要なベストプラクティス
TestGuildセキュリティポッドキャスト: Troy HuntによるAPIをテストする方法
release-rel-2023-03-01-8663 | Wed Mar 8 02:19:53 PST 2023
8663
release/rel-2023-03-01-8663
Wed Mar 8 02:19:53 PST 2023
AWS