OWASP API Security Top 10とは?

Open Web Application Security Project(OWASP)では、アプリケーションプログラミングインターフェース(API)における最大のセキュリティリスクをまとめています。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • OWASP API セキュリティトップ10を要約する
  • このリストとOWASPトップ10を比較する

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

OWASP API Security Top 10とは?

Open Web Application Security Project(OWASP)は、Webアプリケーションのセキュリティを推進することを目的とした非営利団体です。OWASPは、セキュアなWebアプリケーションを構築するための、多くの無料リソースを提供しています。

組織で最も広く参照されているリソースの1つに、Webアプリケーションの10大セキュリティ懸念事項をリストアップしているOWASPトップ10があります。また、OWASPはほとんどのWebやモバイル体験にとって重要な構成要素であるアプリケーションプログラミングインタフェース(API)についても同様のリストを別途管理しています。

APIは、ビジネスインテリジェンスの提供、クラウド展開の促進、AI機能の統合を可能にすることで、企業に競争優位性をもたらすことができます。しかし、同時に、APIは、外部の者がアプリケーションにアクセスし、データを共有し、潜在的に機密性のあるワークフローを実行できるようにすることで、新たなリスクをもたらす可能性もあります。

2023年に発表されたこのOWASP APIセキュリティトップ10は、組織がAPI、アプリケーション、データの保護を強化するために対処すべき主要な問題を浮き彫りにしています。このリストには以下の内容が含まれています:

  1. オブジェクトレベル認可の不備:脆弱性を持つAPIエンドポイントは攻撃者が悪用しようと狙う対象となります。1件のリクエストでオブジェクト識別子を操作し、機密データに不正にアクセスする可能性があります。
  2. 認証の不備:認証が正しく実装されていない場合、攻撃者はAPIユーザーになりすまし、機密データにアクセスすることができます。
  3. オブジェクトプロパティレベルの認可の不備:オブジェクトプロパティレベルの認可の不備または認可の検証が不適切である場合、情報が公開されたり、権限のない者による操作に対する脆弱性が生じる可能性があります。
  4. 制限のないリソース消費:多くのAPIは、クライアントとのやりとりやリソース消費量を制限していません。攻撃者は大量のAPI呼び出しを生成して運用コストを増加させてサービス拒否につなげる可能性があります。
  5. 機能レベル認可の不備:攻撃者が本来アクセスできないエンドポイントに対して正当なAPI呼び出しを送信する可能性があります。他のユーザーのリソースや管理機能に対するアクセス権を取得する可能性があります。
  6. 機密性の高いビジネスフローへの制限のないアクセス:APIがビジネスフロー(例えば、ウェブサイトにコメントを投稿する、商品を購入する、予約をするなど)を公開していると、攻撃者がそのフローを過剰に実行できる可能性があります。
  7. サーバーサイドリクエストフォージェリ:APIは、ユーザーが提供するURLを検証せずにリモートリソースを取得する場合があります。たとえば、ユーザーは、ソーシャルメディアプラットフォームに画像をアップロードするためのURLを指定できます。そのURLが内部ネットワーク内でポートスキャンを開始する可能性があります。
  8. 不適切なインベントリ管理:APIは、従来のWebアプリケーションよりも多くのエンドポイントを公開する可能性があります。組織がホストとデプロイしたAPIバージョンのインベントリを作成していない場合、非推奨のAPIバージョンとエンドポイントが脆弱なまま放置される可能性があります。
  9. APIの安全でない使用:攻撃者は、APIを直接狙うのではなく、APIと対話するサードパーティサービスを標的にする可能性があります。私たちは、開発者がユーザーの入力よりもサードパーティAPIからのデータを信頼することが多いことを認識しています。
  10. これら10のセキュリティリスクについて、詳しくはOWASPの公式ページをご覧ください。

    OWASPトップ10リスト(完全なリストはこちら)と、OWASP APIセキュリティトップ10リストの間にいくつかの重複があります。たとえば、「アクセス制御の不備」がOWASPのトップ10リストで最初の問題になっているほか、APIリストの最初の5つのセキュリティ問題にもさまざまな形態の認証・認可の不備があります。さらに、「セキュリティの設定ミス」と「サーバーサイドリクエストフォージェリ」が両方のリストに記載されています。

    ただし、APIにはWebアプリケーションとは異なるリスクがいくつかあります。開発者は、両方のリストを考慮する必要があります。

    CloudflareはAPIのセキュリティリスク対策にどのように役立つか?

    Cloudflare API Gatewayは、API検出機能、一元化されたAPI管理および監視、革新的な階層型防御によって、APIの安全性と機能の維持に役立ちます。API Gatewayは、Cloudflareのアプリケーションセキュリティポートフォリオの一部で、サプライチェーンの攻撃を監視しつつ、ボット、DDoS攻撃、アプリケーション攻撃を阻止する追加機能を提供します。

    Cloudflareの機能が「OWASP APIセキュリティトップ10」に記載されている特定のリスクにどのように対処しているかをご覧ください。また、CloudflareのAPIセキュリティソリューションの更なる詳細についてもご覧ください。