API/セキュリティ のバックアップソース(No.4)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ | ログイン ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• バックアップ を表示
• API/セキュリティ へ行く。
  • 1 (2021-04-19 (月) 21:02:18)
  • 2 (2021-04-19 (月) 21:40:11)
  • 3 (2021-04-20 (火) 11:25:47)
  • 4 (2021-05-07 (金) 12:52:06)

#author("2021-05-07T03:52:06+00:00","default:admin","admin")
-[[OWASP (Open Web Application Security Project) Japan:https://owasp.org/www-chapter-japan/]]

-[[Open API Initiative:https://www.openapis.org/]]
--[[OAS (Open API Specification) Version 3.1.0:https://spec.openapis.org/oas/v3.1.0]]

-[[APIセキュリティ入門（1）：APIをエッジで制御する意味とは何か:https://japan.zdnet.com/article/35125490/]]
-[[APIセキュリティ入門（2）：APIの認証と認可をスケールする手法:https://japan.zdnet.com/article/35126144/]]
-[[APIセキュリティ入門（3）:キャッシュの活用と過度なリクエスト制御:https://japan.zdnet.com/article/35127003/]]
-[[APIセキュリティ入門（4）：開発者が知るべきAPIセキュリティの全体像:https://japan.zdnet.com/article/35127660/]]
-[[APIセキュリティ入門（5）：API開発者が知っておくべき、API攻撃手法:https://japan.zdnet.com/article/35128586/]]
-[[APIセキュリティ入門（6）：API開発者が知っておくべき、APIの防御手法:https://japan.zdnet.com/article/35129523/]]

-[[APIテクニカルガイドブック:https://cio.go.jp/sites/default/files/uploads/documents/1020_api_tecnical_guidebook.pdf]]
-[[クレジットカードデータ利用に係るAPIガイドライン:https://www.meti.go.jp/press/2018/04/20180411001/20180411001-4.pdf]]

-[[APIのセキュリティ対策をガートナーが解説、具体的に押さえるべき3つのポイントとは:https://www.sbbit.jp/article/cont1/35205]]
-[[「銀行API公開」のセキュリティで金融機関、TPPs、ユーザーが注意すべきポイント:https://www.sbbit.jp/article/cont1/33434]]

-[[Web APIの公開はセキュリティが不安…安全にAPIを公開する方法とは？:https://www.trustbind.jp/security-information/api-security/webapi.html]]
-[[APIのセキュリティ対策　～Web APIを安全に公開するために～:https://www.trustshelter.jp/column/2020-07-15/]]
-[[APIを安全に利用する4つのセキュリティ対策、具体的な実装方法は？:https://techtarget.itmedia.co.jp/tt/news/1904/24/news06.html]]

-[[OAuth2.0 に対する脅威と対策：金融オープン API の一段の有効活用に向けて:https://www.imes.boj.or.jp/research/papers/japanese/kk37-3-4.pdf]]

*設計ポイント [#de7072aa]
-攻撃対象領域を最小限に抑える
-本当に必要なものだけと公開・要求すべき
-コンシューマには、本当に必要なものを使うことだけを許可すべき
-セキュリティを確保するには、アクセス制御にどのデータが必要かを念頭に置いた上で、ユーザの視点に立ってAPIを設計しなければならない
-APIの設計者は、APIの設計を完全にセキュアな状態に保つために、APIのベースとなっているプロトコルやアーキテクチャに起因するデータ漏洩の可能性に注意を払わなければならない

**アプリケーションのアクセス制御 [#y3f83602]


**エンドユーザのアクセス制御 [#w5b739a4]

**センシティブな内容 [#t9dc1dd0]
***センシティブなデータへの対処 [#xfaab901]
-シーケンシャルなIDを返すことは止めた方が良い
--シーケンシャルなデータは他人のデータにアクセスを試みるために利用される可能性がある

***センシティブなゴールへの対処 [#q4fa4a86]

***セキュアなエラーフィードバック [#k8c256be]
-403 Forbidden
--データへのアクセス不許可 → データが存在することを暗に認めていることになる
--「404 Not Found」レスポンスに変えることも検討する

-500 Internal Server Error
--APIのベースとなっている技術スタックに関する詳細情報が提供されないようにすること
--APIの内部で実際に稼働しているものの手がかりになるような情報を提供しないように注意する必要がある

***ログ記録 [#ge9649b1]
-URLがログに記録される場合は、センシティブな情報が一切含まれないようにする

*API呼び出しのステップ [#wfe75718]
**コンシューマの登録 [#td04a51a]

**APIを利用するためのクレデンシャルの取得 [#nbe585d8]

**API呼び出しの作成 [#i1390ad8]

*個人認証 [#l8869d1a]
**[[OpenID:https://www.openid.or.jp/]] [#p752ec5d]
-[[OpenID Connect:https://www.openid.or.jp/document/]]

     

Site admin: anonymous

PukiWiki 1.5.1 © 2001-2016 PukiWiki Development Team. Powered by PHP 5.6.99-hhvm. HTML convert time: 0.003 sec.