TOPセキュリティ > APIセキュリティーの第一歩は攻撃手段の理解から(後)

セキュリティ

APIセキュリティーの第一歩は攻撃手段の理解から(後)

2022/08/04

Chris Hughes CSO

 クラウドコンピューティングやモバイルデバイス、マイクロサービスが広く使われている現在、我々が利用するアプリケーションの屋台骨を支えているのがAPIだ。企業の攻撃対象領域を考えるうえで、今やAPIを外すわけにはいかない。

前回から続く)

Credit: Loops7 / Getty Images
Credit: Loops7 / Getty Images

 必要以上のデータ開示の問題は非常によくある。APIに関しては、必要性のない機微なデータがレスポンスに含まれているという形で問題が生じることが多い。こうした不備に対処するには、APIから返すレスポンスの中身をきちんと検証する必要がある。また、受け取ったレスポンスを使う際にも、機微なデータの開示を防ぐための検証の仕組みを取り入れる必要がある。

 呼び出しの回数制限の欠如は、他の項目で言及されているような機密性や完全性への侵害とは違い、システムの可用性に影響する問題となる。前述のように、APIは現代のマイクロサービスやクラウドサービス、モバイルアプリを結び付ける接着剤として機能し、顧客への価値の提供や売り上げの創出を支えている。それだけに、可用性の問題は大きな懸念だ。事業の中断を余儀なくされた場合、売り上げに響いたり、顧客からの信頼が損なわれたりしかねない。また、公的機関や国防などに関連する分野であれば、重要な公共サービスや国家安全保障に影響する事態にもなり得る。

 認証/認可に関する攻撃やサービス拒否(DoS)攻撃が日常的に見られる現状からすると、ここまでに挙げたような項目は、セキュリティーの現場に長年携わってきた人からしたら、ごく基本的な事柄に思えるかもしれない。しかし、本記事の前半で触れたように、企業内やインターネットでAPIの利用が増え、APIを狙う攻撃も急増していることを踏まえると、こうした基本的な問題が複合的なリスクをもたらす恐れがある。

↑ページ先頭へ