APIセキュリティ
WebAPIへの不正アクセス・データ漏洩・DoS攻撃を防ぐためのセキュリティ対策群。OWASP API Security Top 10に基づく認証・認可・レート制限・入力バリデーション等が含まれる。
APIセキュリティとは?
APIセキュリティは、Webサービスが公開するAPI(Application Programming Interface)への不正アクセス・データ漏洩・改ざん・DoS攻撃などを防ぐためのセキュリティ対策の総称です。現代のWebサービスはAPIを通じてデータをやり取りするため、APIは攻撃者の主要な標的となっています。
OWASP API Security Top 10(2023年版)
| 順位 | リスク |
|---|---|
| 1 | 壊れたオブジェクトレベル認可(BOLA) |
| 2 | 認証の不備 |
| 3 | 壊れたオブジェクトプロパティレベル認可 |
| 4 | 無制限のリソース消費 |
| 5 | 壊れた機能レベル認可 |
| 6 | 機密ビジネスフローへの無制限アクセス |
| 7 | サーバーサイドリクエストフォージェリ(SSRF) |
| 8 | セキュリティの設定ミス |
| 9 | 不適切なインベントリ管理 |
| 10 | APIの安全でない使用 |
主なAPIセキュリティ対策
- 認証: JWT・OAuthによる適切な認証実装
- 認可: リソースへのアクセス権限を最小権限で制御
- レート制限: APIキーごとのリクエスト数制限(DDoS緩和)
- 入力バリデーション: SQLインジェクション・コマンドインジェクション防止
- HTTPS強制: 全API通信をTLSで暗号化
- APIキーのローテーション: 定期的なキーの更新
まとめ
APIセキュリティは「公開API = 攻撃者からも見える」という前提で設計することが重要です。OWASP API Security Top 10を定期的に確認し、開発段階からセキュリティを組み込む「Shift Left」の姿勢が求められます。
関連する用語 (サイバーセキュリティ辞典)
全109件を見るセキュリティ用語: Advanced Persistent Threat (APT) とは
情報セキュリティの重要キーワード「Advanced Persistent Threat (APT)」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。
セキュリティ用語: SOC (Security Operations Center) とは
情報セキュリティの重要キーワード「SOC (Security Operations Center)」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。
セキュリティ用語: Man-in-the-Middle (MitM) とは
情報セキュリティの重要キーワード「Man-in-the-Middle (MitM)」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。
セキュリティ用語: VPN とは
情報セキュリティの重要キーワード「VPN」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。
セキュリティ用語: Blue Team とは
情報セキュリティの重要キーワード「Blue Team」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。
脅威インテリジェンス(Threat Intelligence)
サイバー攻撃の手法・攻撃者・侵害指標(IoC)に関する体系的な情報。組織が現実的な脅威を把握してプロアクティブに防御策を取るために活用されるセキュリティ情報。