Open Web Application Security Project(OWASP)では、アプリケーションプログラミングインターフェース(API)における最大のセキュリティリスクをまとめています。
この記事を読み終えると、以下のことができるようになります。
記事のリンクをコピーする
Open Web Application Security Project(OWASP)は、 Webアプリケーションのセキュリティを推進することを目的とした非営利団体です。OWASPは、セキュアなウェブアプリケーションの構築を望むすべての人に、多くの無料リソースを提供しています。
最も広く参照されているリソースの1つに、Webアプリケーションの10大セキュリティ懸念事項をリストアップしているOWASPトップ10があります。
また、OWASPはほとんどのWebアプリケーションにとって重要な構成要素であるアプリケーションプログラミングインタフェース (API)についても同様のリストを別途管理しています。このリストは「OWASP API Securityトップ10」です。
2019年現在*、OWASP API Securityトップ10には以下のように記述されています。
*2021年12月現在、このリストは2019年以降更新されていません。
これら10のセキュリティリスクについて、詳しくはOWASPの公式ページをご覧ください。
OWASPトップ10リスト(完全なリストはこちら)とOWASP APIセキュリティトップ10リストの間には、いくつかのクロスオーバーが存在します。例えば、インジェクション、認証の不備、不充分なロギングとモニタリングは両方に登場します。しかし、APIはWebアプリケーションとは若干リスクが異なります。開発者は、両方のリストを考慮しておく必要があります。
Cloudflare API Shieldは、階層化されたAPI防御機能を使用してAPIに起因するさまざまな攻撃から保護します。含まれる機能には、データ損失防止(リスク1と3に対応)、mutual TLS(リスク2)、レート制限(リスク4)があります。すべての機能のリストについては、Cloudflare API Gatewayのページをご覧ください。
APIセキュリティについて、詳しくはAPIセキュリティとは何か?をご覧ください。