Open Web Application Security Project(OWASP)では、アプリケーションプログラミングインターフェース(API)における最大のセキュリティリスクをまとめています。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
Open Web Application Security Project(OWASP)は、Webアプリケーションのセキュリティを推進することを目的とした非営利団体です。OWASPは、セキュアなWebアプリケーションを構築するための、多くの無料リソースを提供しています。
組織で最も広く参照されているリソースの1つに、Webアプリケーションの10大セキュリティ懸念事項をリストアップしているOWASPトップ10があります。また、OWASPはほとんどのWebやモバイル体験にとって重要な構成要素であるアプリケーションプログラミングインタフェース(API)についても同様のリストを別途管理しています。
APIは、ビジネスインテリジェンスの提供、クラウド展開の促進、AI機能の統合を可能にすることで、企業に競争優位性をもたらすことができます。しかし、同時に、APIは、外部の者がアプリケーションにアクセスし、データを共有し、潜在的に機密性のあるワークフローを実行できるようにすることで、新たなリスクをもたらす可能性もあります。
2023年に発表されたこのOWASP APIセキュリティトップ10は、組織がAPI、アプリケーション、データの保護を強化するために対処すべき主要な問題を浮き彫りにしています。このリストには以下の内容が含まれています:
これら10のセキュリティリスクについて、詳しくはOWASPの公式ページをご覧ください。
OWASPトップ10リスト(完全なリストはこちら)と、OWASP APIセキュリティトップ10リストの間にいくつかの重複があります。たとえば、「アクセス制御の不備」がOWASPのトップ10リストで最初の問題になっているほか、APIリストの最初の5つのセキュリティ問題にもさまざまな形態の認証・認可の不備があります。さらに、「セキュリティの設定ミス」と「サーバーサイドリクエストフォージェリ」が両方のリストに記載されています。
ただし、APIにはWebアプリケーションとは異なるリスクがいくつかあります。開発者は、両方のリストを考慮する必要があります。
Cloudflare API Gatewayは、API検出機能、一元化されたAPI管理および監視、革新的な階層型防御によって、APIの安全性と機能の維持に役立ちます。API Gatewayは、Cloudflareのアプリケーションセキュリティポートフォリオの一部で、サプライチェーンの攻撃を監視しつつ、ボット、DDoS攻撃、アプリケーション攻撃を阻止する追加機能を提供します。
Cloudflareの機能が「OWASP APIセキュリティトップ10」に記載されている特定のリスクにどのように対処しているかをご覧ください。また、CloudflareのAPIセキュリティソリューションの更なる詳細についてもご覧ください。
利用開始
Webアプリケーションセキュリティについて
一般的な脅威
VPNリソース
セキュリティ用語集
ラーニングセンターナビゲーション