Open Web Application Security Project(OWASP)では、アプリケーションプログラミングインターフェース(API)における最大のセキュリティリスクをまとめています。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
Open Web Application Security Project(OWASP)は、Webアプリケーションのセキュリティを推進することを目的とした非営利団体です。OWASPは、セキュアなWebアプリケーションを構築するための、多くの無料リソースを提供しています。
組織で最も広く参照されているリソースの1つに、Webアプリケーションの10大セキュリティ懸念事項をリストアップしているOWASPトップ10があります。また、OWASPはほとんどのWebやモバイル体験にとって重要な構成要素であるアプリケーションプログラミングインタフェース(API)についても同様のリストを別途管理しています。
APIは、ビジネスインテリジェンスの提供、クラウド展開の促進、AI機能の統合を可能にすることで、企業に競争優位性をもたらすことができます。しかし、同時に、APIは、外部の者がアプリケーションにアクセスし、データを共有し、潜在的に機密性のあるワークフローを実行できるようにすることで、新たなリスクをもたらす可能性もあります。
2023年に発表されたこのOWASP APIセキュリティトップ10は、組織がAPI、アプリケーション、データの保護を強化するために対処すべき主要な問題を浮き彫りにしています。このリストには以下の内容が含まれています:
これら10のセキュリティリスクについて、詳しくはOWASPの公式ページをご覧ください。
OWASPトップ10リスト(完全なリストはこちら)と、OWASP APIセキュリティトップ10リストの間にいくつかの重複があります。たとえば、「アクセス制御の不備」がOWASPのトップ10リストで最初の問題になっているほか、APIリストの最初の5つのセキュリティ問題にもさまざまな形態の認証・認可の不備があります。さらに、「セキュリティの設定ミス」と「サーバーサイドリクエストフォージェリ」が両方のリストに記載されています。
ただし、APIにはWebアプリケーションとは異なるリスクがいくつかあります。開発者は、両方のリストを考慮する必要があります。
Cloudflare API Shieldは、API検出機能、一元化されたAPI管理および監視、革新的な階層型防御によって、APIの安全性と機能の維持に役立ちます。API Shieldは、Cloudflareのアプリケーションセキュリティポートフォリオの一部で、ボット、DDoS攻撃、アプリケーション攻撃を阻止する追加機能を提供し、サプライチェーン攻撃を監視します。
Cloudflareの機能が「OWASP APIセキュリティトップ10」に記載されている特定のリスクにどのように対処しているかをご覧ください。また、CloudflareのAPIセキュリティソリューションの更なる詳細についてもご覧ください。
OWASPは、Webアプリケーションのセキュリティを促進する非営利団体であり、セキュリティのベストプラクティスやリスクリストなどの無料リソースを提供し、組織がアプリケーションを安全に保つのを支援しています。
OWASP APIセキュリティトップ10は、APIが直面する最も重大なセキュリティリスクのリストです。組織がAPIの設計および実装における一般的な脆弱性を理解し、対処するのに役立ちます。
「認可の不備」は、オブジェクトレベルの認可の不備、オブジェクトプロパティレベルの認可の不備、関数レベルの認可の不備など、APIのOWASPリスクの多くを指します。これら3つの脆弱性はすべて、攻撃者が機密データを公開または操作することを可能にします。
主なAPIリスクには、無制限のリソース消費、サーバーサイドリクエストフォージェリ(SSRF)、不十分なAPIインベントリ管理が含まれ、これらはすべてデータ漏洩やサービスの中断を引き起こす可能性があります。
APIがユーザーを適切に検証しない場合、認証の脆弱性が発生し、攻撃者が正当なユーザーになりすまし、機密データに不正にアクセスできるようになります。
APIが外部サービスと相互作用する際に、サードパーティAPIのリスクが発生する可能性があります。攻撃者は、APIがこれらのサードパーティサービスからのデータを信頼する傾向がある場合、APIを直接狙うのではなく、これらの外部サービスを標的にする可能性があります。
Cloudflare API Shieldは、APIの検出、集中管理、監視、階層的なセキュリティ防御を提供し、組織のAPIを保護するソリューションです。
これらのリストはどちらも、一般的なセキュリティリスクを分類しています。OWASP APIセキュリティトップ10はAPIに特化しており、OWASPトップ10はWebアプリケーション全般に適用されます。APIはほとんど常にWebアプリケーションのインフラストラクチャの重要な部分であるため、セキュリティ意識の高いWebアプリ開発者は、両方のリストを考慮に入れるべきです。アクセス制御の不備やサーバーサイドリクエストフォージェリの問題など、APIとWebアプリが直面するセキュリティリスクの種類には重複するものもありますが、こうしたリスクに対するソリューションの実装は、APIとWebアプリでは若干異なります。
ビジネスフローの悪用は、攻撃者が正当なAPIワークフローを利用して、過剰な購入や予約を行い、ビジネス運営を妨害することで発生します。
利用開始
Webアプリケーションセキュリティについて
一般的な脅威
VPNリソース
セキュリティ用語集