API/セキュリティ

• OWASP (Open Web Application Security Project) Japan

• Open API Initiative
  • OAS (Open API Specification) Version 3.1.0

• APIセキュリティ入門（1）：APIをエッジで制御する意味とは何か
• APIセキュリティ入門（2）：APIの認証と認可をスケールする手法
• APIセキュリティ入門（3）:キャッシュの活用と過度なリクエスト制御
• APIセキュリティ入門（4）：開発者が知るべきAPIセキュリティの全体像
• APIセキュリティ入門（5）：API開発者が知っておくべき、API攻撃手法
• APIセキュリティ入門（6）：API開発者が知っておくべき、APIの防御手法

• APIテクニカルガイドブック
• クレジットカードデータ利用に係るAPIガイドライン

• APIのセキュリティ対策をガートナーが解説、具体的に押さえるべき3つのポイントとは
• APIとは？仕組みや認証方法・セキュリティ面について
• EC事業者を狙うAPI攻撃。知っておくべき危険性と対処法
• 「銀行API公開」のセキュリティで金融機関、TPPs、ユーザーが注意すべきポイント

• Web APIの公開はセキュリティが不安…安全にAPIを公開する方法とは？
• APIのセキュリティ対策　～Web APIを安全に公開するために～
• APIを安全に利用する4つのセキュリティ対策、具体的な実装方法は？

• OAuth2.0 に対する脅威と対策：金融オープン API の一段の有効活用に向けて

設計ポイント †

• 攻撃対象領域を最小限に抑える
• 本当に必要なものだけと公開・要求すべき
• コンシューマには、本当に必要なものを使うことだけを許可すべき
• セキュリティを確保するには、アクセス制御にどのデータが必要かを念頭に置いた上で、ユーザの視点に立ってAPIを設計しなければならない
• APIの設計者は、APIの設計を完全にセキュアな状態に保つために、APIのベースとなっているプロトコルやアーキテクチャに起因するデータ漏洩の可能性に注意を払わなければならない

アプリケーションのアクセス制御 †

エンドユーザのアクセス制御 †

センシティブな内容 †

センシティブなデータへの対処 †

• シーケンシャルなIDを返すことは止めた方が良い
  • シーケンシャルなデータは他人のデータにアクセスを試みるために利用される可能性がある

センシティブなゴールへの対処 †

セキュアなエラーフィードバック †

• 403 Forbidden
  • データへのアクセス不許可 → データが存在することを暗に認めていることになる
  • 「404 Not Found」レスポンスに変えることも検討する

• 500 Internal Server Error
  • APIのベースとなっている技術スタックに関する詳細情報が提供されないようにすること
  • APIの内部で実際に稼働しているものの手がかりになるような情報を提供しないように注意する必要がある

ログ記録 †

• URLがログに記録される場合は、センシティブな情報が一切含まれないようにする

API呼び出しのステップ †

コンシューマの登録 †

APIを利用するためのクレデンシャルの取得 †

API呼び出しの作成 †

API攻撃 †

• EC事業者を狙うAPI攻撃。知っておくべき危険性と対処法

対策 †

• Webアプリ、モバイルアプリ、サードパーティパートナー、サプライヤー、関連会社それぞれを、外部トラフィック用の個別のAPIに分離する
• APIコールのレートを制限する
• ログファイルにAPIコール用のバケットを作成、APIダッシュボードや定期的なレポートを作り、セキュリティチームが異常や異常値を発見できるようにする
• 機械学習を活用して悪質なAPIコールのパターンや行動を特定する

WAF (Web Application FIrewall) †

WAAP (Web Application and API Protection) †

• WAFがあるから大丈夫？～今求められる、WAAPとは～
• 今、注目すべき次世代のWebセキュリティ対策「WAPP」とは？