API 評価では、API の設計、実装、使用状況を確認します。通信の安全性をテストしたり、認証と認可の適切性を検証したり、SQL インジェクションやクロスサイトスクリプティングなどの脆弱性の有無を調べたり、エラー処理やレート制限がベストプラクティスに基づいて行われていることを確認したりします。
自動ツールと手動による侵入テストを活用することで、包括的に評価できます。
API セキュリティを評価する方法
API セキュリティの評価は、API およびその API が処理する機微な情報の整合性、機密性、可用性を維持するための重要なプロセスです。
この評価により、潜在的な脆弱性を特定して、さまざまな攻撃シナリオのシミュレーションを行い、実装済みのセキュリティ対策の堅牢性を評価できます。
評価の際には主に、認証/認可メカニズム、暗号化規格、エラー処理手順、レート制限対策、入力検証を調べます。
この評価の目的は、悪用される可能性のある脆弱な箇所を特定して、それを修正することです。
API セキュリティを評価すべき理由
API は、多くの Web アプリケーション、モバイルアプリケーション、マイクロサービスフレームワークを支える重要な要素です。API は広く使用されているため、サイバー犯罪者にとっては格好の標的となっています。
API セキュリティの不備により、多数のセキュリティ侵害が発生しており、データ漏えい、不正アクセス、サービス中断などの大規模なハッキングにつながっています。
API セキュリティ評価により、API に関連するリスクを早期に検知して緩和し、API のセキュリティを確保できます。
Akamai が API セキュリティに役立つ理由
Akamai は、完全な可視性、エンドポイント検出、シグネチャー/ふるまい検知、インライン/自動の応答ポリシーを備えた、包括的な API セキュリティを提供しています。
Akamai の主力 WAAP ソリューションの App & API Protectorにより、悪性トラフィックをリアルタイムでブロックすることで、Web サイト、アプリケーション、API を保護できます。App & API Protector が許可したトラフィック内の API、およびエンタープライズ内のすべての API を検出して、ふるまい分析を用いて異常なアクティビティを検知し、脅威や悪用に自動で対応します。さらに、Akamai Identity Cloud により、ユーザー認証プロトコルを強化できます。また、Akamai のセキュリティプロフェッショナル(マネージドサービスや脅威ハンティングなどの専門家)で構成されたチームが、API セキュリティのベストプラクティスに関する専門的なアドバイスを提供し、安全な API 環境の構築を支援します。
API セキュリティの詳細
詳細な API セキュリティ評価を実施するためには、以下の重要な要素を考慮する必要があります。
認証と認可:許可された正規のユーザー/サービスのみが API にアクセスできるよう、OAuth や JWT などの堅牢なメカニズムを実装します。
暗号化:HTTPS などの安全なプロトコルを使用して、API 経由で送信するすべてのデータを暗号化することで、傍受や Machine-in-the-middle 攻撃から保護します。
エラー処理:エラーメッセージによる情報漏えいを防ぐためには、適切なエラー処理が不可欠です。
レート制限:レート制限を実装して、特定の期間内にユーザー/サービスが実行できるリクエストの数を制限することで、API の不正使用を緩和できます。
入力検証:一般的なインジェクション攻撃を防止するために、すべての入力を検証し、サニタイズ(無害化)する必要があります。
API のセキュリティを完全に確保するためには、脆弱性評価と侵入テストを定期的に実施することが重要です。それらのテストにより、潜在的なセキュリティ問題をプロアクティブに特定して対処し、API のセキュリティ、効率性、信頼性を確保できます。
API セキュリティ評価の質問表
API セキュリティ評価の質問表は、組織の API セキュリティを評価するための重要なツールです。
セキュリティリスクと脆弱性を特定するための 30 の質問を以下に紹介します。
- API の目的は何ですか?
- API でどのようなデータやサービスにアクセスできますか?
- API の対象利用者は誰ですか?
- API のセキュリティポリシーを文書化していますか?
- API アクセスをどのように制御/認証していますか?
- API キーをどのように管理/配布していますか?
- API エンドポイントを SSL/TLS で保護していますか?
- どのような暗号化アルゴリズム/プロトコルを使用して、転送中の API データを保護していますか?
- API で機微な情報や認証情報はどのように送信されますか?
- エラーメッセージはどのように処理され、クライアントに返されますか?
- API をクロスサイト・リクエスト・フォージェリー(CSRF)攻撃から保護していますか?
- API を SQL インジェクション攻撃から保護していますか?
- API をクロスサイトスクリプティング(XSS)攻撃から保護していますか?
- API(または API の依存関係)に既知の脆弱性はありますか?
- API をサービス妨害(DoS)攻撃からどのように保護していますか?
- セキュリティの脅威やインシデントについて、どのように API を監視していますか?
- API が依存しているサードパーティの API や統合はありますか?
- サードパーティの API や統合をどのように認証/認可していますか?
- API の使用状況をどのように追跡および監査していますか?
- API のバージョン管理をどのように行っていますか?
- API の使用に関する制限やレート制限はありますか?
- API のログとアクセスデータをどのように保存および保護していますか?
- API のバックアップおよび災害復旧計画はありますか?
- API の変更を実装する前に、どのようにテストおよび検証していますか?
- API セキュリティインシデントを報告して対応するためのプロセスはどのようなものですか?
- API のバグ・バウンティ・プログラムはありますか?
- API のセキュリティパッチやアップデートをどのように実装していますか?
- API のセキュリティリスクと脆弱性をどのように特定して緩和していますか?
- API はどのようなセキュリティ認証またはセキュリティ標準に準拠していますか?
- API のセキュリティ対策/ポリシーをどのように開発者やユーザーに知らせていますか?
上記の質問に回答することで、自社の API セキュリティの状態に対する理解を深めることができます。セキュリティリスクに対処し、API のセキュリティを確保するためには、API セキュリティ評価を定期的に実施することが重要です。
よくある質問(FAQ)
API セキュリティ評価とは、API のセキュリティ対策に関する体系的な評価です。認証、認可、暗号化、レート制限、入力検証などを確認およびテストすることで、脆弱性、潜在的リスク、弱点を特定します。
API で通信が安全に行われており、機微な情報が適切に保護されていることを確認するのが目的です。
認証/認可プロトコルの検証、応答ヘッダーやエラーメッセージでのデータ漏えいの有無の確認、暗号化方式のテスト、不正使用を防止するためのレート制限やインジェクション攻撃を回避するための入力検証の確認など、さまざまな方法があります。Postman や SoapUI などのツール、および OWASP ZAP などの自動化ソリューションを使用すると便利です。
API の認証/認可メカニズムを検証したり、データ送信の安全性を調べたり、インジェクション攻撃などの脆弱性をテストしたり、API のエラー処理およびレート制限メカニズムを調べたりします。Postman、SoapUI、OWASP ZAP などのツールを使用すると便利です。
API は、各種ソフトウェアアプリケーションが互いに通信するための一連のプロトコルおよび定義です。
API キーは、ユーザー、開発者、または呼び出しプログラムを API に認証するために使用される一意の識別子です。基本的には、API へのアクセスを制御するために使用されるシークレットトークンです。
API セキュリティテストには、静的/動的分析、ファズテスト、侵入テストなどがあります。これらのテストにより、脆弱性を特定したり、予期しない入力や不正な形式の入力に対するシステムの耐障害性をテストしたり、実際の攻撃をシミュレートして API のセキュリティを評価したりできます。
Akamai が選ばれる理由
Akamai はオンラインライフの力となり、守っています。世界中のトップ企業が Akamai を選び、安全なデジタル体験を構築して提供することで、毎日、いつでもどこでも、世界中の人々の人生をより豊かにしています。 Akamai Connected Cloudは、超分散型のエッジおよび クラウドプラットフォームです。ユーザーに近いロケーションからアプリや体験を提供し、ユーザーから脅威を遠ざけます。