OWASP API Security Top 10とは?

Open Web Application Security Project(OWASP)では、アプリケーションプログラミングインターフェース(API)における最大のセキュリティリスクをまとめています。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • OWASP API セキュリティトップ10を要約する
  • このリストとOWASPトップ10を比較する

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

OWASP API Security Top 10とは?

Open Web Application Security Project(OWASP)は、Webアプリケーションのセキュリティを推進することを目的とした非営利団体です。OWASPは、セキュアなWebアプリケーションを構築するための、多くの無料リソースを提供しています。

組織で最も広く参照されているリソースの1つに、Webアプリケーションの10大セキュリティ懸念事項をリストアップしているOWASPトップ10があります。また、OWASPはほとんどのWebやモバイル体験にとって重要な構成要素であるアプリケーションプログラミングインタフェース(API)についても同様のリストを別途管理しています。

APIは、ビジネスインテリジェンスの提供、クラウド展開の促進、AI機能の統合を可能にすることで、企業に競争優位性をもたらすことができます。しかし、同時に、APIは、外部の者がアプリケーションにアクセスし、データを共有し、潜在的に機密性のあるワークフローを実行できるようにすることで、新たなリスクをもたらす可能性もあります

2023年に発表されたこのOWASP APIセキュリティトップ10は、組織がAPI、アプリケーション、データの保護を強化するために対処すべき主要な問題を浮き彫りにしています。このリストには以下の内容が含まれています:

  1. オブジェクトレベル認可の不備:脆弱性を持つAPIエンドポイントは攻撃者が悪用しようと狙う対象となります。1件のリクエストでオブジェクト識別子を操作し、機密データに不正にアクセスする可能性があります。
  2. 認証の不備:認証が正しく実装されていない場合、攻撃者はAPIユーザーになりすまし、機密データにアクセスすることができます。
  3. オブジェクトプロパティレベルの認可の不備:オブジェクトプロパティレベルの認可の不備または認可の検証が不適切である場合、情報が公開されたり、権限のない者による操作に対する脆弱性が生じる可能性があります。
  4. 制限のないリソース消費:多くのAPIは、クライアントとのやりとりやリソース消費量を制限していません。攻撃者は大量のAPI呼び出しを生成して運用コストを増加させてサービス拒否につなげる可能性があります。
  5. 機能レベル認可の不備:攻撃者が本来アクセスできないエンドポイントに対して正当なAPI呼び出しを送信する可能性があります。他のユーザーのリソースや管理機能に対するアクセス権を取得する可能性があります。
  6. 機密性の高いビジネスフローへの制限のないアクセス:APIがビジネスフロー(例えば、ウェブサイトにコメントを投稿する、商品を購入する、予約をするなど)を公開していると、攻撃者がそのフローを過剰に実行できる可能性があります。
  7. サーバーサイドリクエストフォージェリ:APIは、ユーザーが提供するURLを検証せずにリモートリソースを取得する場合があります。たとえば、ユーザーは、ソーシャルメディアプラットフォームに画像をアップロードするためのURLを指定できます。そのURLが内部ネットワーク内でポートスキャンを開始する可能性があります。
  8. 不適切なインベントリ管理:APIは、従来のWebアプリケーションよりも多くのエンドポイントを公開する可能性があります。組織がホストとデプロイしたAPIバージョンのインベントリを作成していない場合、非推奨のAPIバージョンとエンドポイントが脆弱なまま放置される可能性があります。
  9. APIの安全でない使用:攻撃者は、APIを直接狙うのではなく、APIと対話するサードパーティサービスを標的にする可能性があります。私たちは、開発者がユーザーの入力よりもサードパーティAPIからのデータを信頼することが多いことを認識しています。
  10. これら10のセキュリティリスクについて、詳しくはOWASPの公式ページをご覧ください。

    OWASPトップ10リスト(完全なリストはこちら)と、OWASP APIセキュリティトップ10リストの間にいくつかの重複があります。たとえば、「アクセス制御の不備」がOWASPのトップ10リストで最初の問題になっているほか、APIリストの最初の5つのセキュリティ問題にもさまざまな形態の認証・認可の不備があります。さらに、「セキュリティの設定ミス」と「サーバーサイドリクエストフォージェリ」が両方のリストに記載されています。

    ただし、APIにはWebアプリケーションとは異なるリスクがいくつかあります。開発者は、両方のリストを考慮する必要があります。

    CloudflareはAPIのセキュリティリスク対策にどのように役立つか?

    Cloudflare API Shieldは、API検出機能、一元化されたAPI管理および監視、革新的な階層型防御によって、APIの安全性と機能の維持に役立ちます。API Shieldは、Cloudflareのアプリケーションセキュリティポートフォリオの一部で、ボット、DDoS攻撃、アプリケーション攻撃を阻止する追加機能を提供し、サプライチェーン攻撃を監視します。

    Cloudflareの機能が「OWASP APIセキュリティトップ10」に記載されている特定のリスクにどのように対処しているかをご覧ください。また、CloudflareのAPIセキュリティソリューションの更なる詳細についてもご覧ください。

    よくある質問

    OWASP(Open Web Application Security Project)とは何ですか?

    OWASPは、Webアプリケーションのセキュリティを促進する非営利団体であり、セキュリティのベストプラクティスやリスクリストなどの無料リソースを提供し、組織がアプリケーションを安全に保つのを支援しています。

    OWASP API Security Top 10とは?

    OWASP APIセキュリティトップ10は、APIが直面する最も重大なセキュリティリスクのリストです。組織がAPIの設計および実装における一般的な脆弱性を理解し、対処するのに役立ちます。

    APIセキュリティにおける「認可の不備」とはどういう意味ですか?

    「認可の不備」は、オブジェクトレベルの認可の不備、オブジェクトプロパティレベルの認可の不備、関数レベルの認可の不備など、APIのOWASPリスクの多くを指します。これら3つの脆弱性はすべて、攻撃者が機密データを公開または操作することを可能にします。

    APIセキュリティリスクにはどのような例がありますか?

    主なAPIリスクには、無制限のリソース消費、サーバーサイドリクエストフォージェリ(SSRF)、不十分なAPIインベントリ管理が含まれ、これらはすべてデータ漏洩やサービスの中断を引き起こす可能性があります。

    APIにおける認証の脆弱性とは何ですか?

    APIがユーザーを適切に検証しない場合、認証の脆弱性が発生し、攻撃者が正当なユーザーになりすまし、機密データに不正にアクセスできるようになります。

    サードパーティAPIのリスクとは何ですか?

    APIが外部サービスと相互作用する際に、サードパーティAPIのリスクが発生する可能性があります。攻撃者は、APIがこれらのサードパーティサービスからのデータを信頼する傾向がある場合、APIを直接狙うのではなく、これらの外部サービスを標的にする可能性があります。

    Cloudflare API Shieldとは何ですか?

    Cloudflare API Shieldは、APIの検出、集中管理、監視、階層的なセキュリティ防御を提供し、組織のAPIを保護するソリューションです。

    OWASP APIセキュリティトップ10は、WebアプリのOWASPトップ10とどのように関連していますか?

    これらのリストはどちらも、一般的なセキュリティリスクを分類しています。OWASP APIセキュリティトップ10はAPIに特化しており、OWASPトップ10はWebアプリケーション全般に適用されます。APIはほとんど常にWebアプリケーションのインフラストラクチャの重要な部分であるため、セキュリティ意識の高いWebアプリ開発者は、両方のリストを考慮に入れるべきです。アクセス制御の不備やサーバーサイドリクエストフォージェリの問題など、APIとWebアプリが直面するセキュリティリスクの種類には重複するものもありますが、こうしたリスクに対するソリューションの実装は、APIとWebアプリでは若干異なります。

    APIにおけるビジネスフローの悪用とは何ですか?

    ビジネスフローの悪用は、攻撃者が正当なAPIワークフローを利用して、過剰な購入や予約を行い、ビジネス運営を妨害することで発生します。