8 API Security Best Practices

アプリケーション プログラミング インターフェイス (API) は、適切に構造化されたインターフェイスを介してプログラムが相互に通信できるように設計されています。 時間が経つにつれ、API は現代のインターネットと IT システムの重要な部分となり、Web アプリケーション、モバイル、モノのインターネット (IoT デバイス、およびさまざまな Software as a Service (SaaS) 製品) をサポートします。

API が普及するにつれて、API はサイバー攻撃の主な標的として浮上しています。 その結果、API セキュリティは組織のアプリケーション セキュリティ (AppSec)プログラムの中核コンポーネントになりました。

2023 年版 GigaOm レーダー レポートを読む デモをリクエストする

APIサイバー攻撃の種類

API はさまざまなサイバー攻撃に対して潜在的に脆弱です。 Open Web Application Security Project (OWASP) は、これらのリスクに注意を払うために、API の脆弱性に特化したトップ 10 リストを作成しました。

このリストの 2023 年版には、次の一般的な API セキュリティの脅威が含まれています。

  • オブジェクト・レベル権限の破損。
  • 認証の不備。
  • 壊れたオブジェクト プロパティ レベルの承認。
  • 無制限のリソース消費。
  • 機能レベルの許可が壊れています。
  • 機密性の高いビジネスフローへの無制限のアクセス。
  • サーバー側のリクエストフォージェリ。
  • セキュリティの設定ミス。
  • 不適切な在庫管理。
  • API の安全でない使用。

API Security Best Practices

API はさまざまなセキュリティ上の脅威に直面しています。ただし、これらの脅威は、次のAPIセキュリティのベスト プラクティスを実装することで管理できます。

#1.認証と承認を実装する

API を使用すると、ユーザーは組織のエンドポイントで特定の機能を実行できます。 これらの機能が機密データや制限された機能へのアクセスを提供しない場合でも、CPU、ネットワーク帯域幅、その他のリソースを消費します。

認証と認可を実装すると、組織は API へのアクセスを管理できるようになります。 理想的には、認証は多要素認証 (MFA) を使用して実行され、認可はゼロトラストの原則に沿ったものになります。

#2. SSL/TLS暗号化を使用する

API リクエストとレスポンスには、ユーザー データや財務情報などの機密情報が含まれる場合があります。 誰かがネットワーク トラフィックを盗聴すると、このデータにアクセスできる可能性があります。

SSL/TLS プロトコルは Web サーバーを認証し、API トラフィックの暗号化を提供します。 これは、ソーシャル エンジニアリング攻撃から保護し、ネットワーク トラフィックの盗聴を防ぐのに役立ちます。

#3.ゼロトラストアクセス制御の実装

API のアクセス管理は、セキュリティと効率性を確保するために不可欠です。 特定の API 機能への不適切なアクセスを許可すると、機密データが権限のない者に公開されたり、サービス拒否 (DoS) 攻撃が可能になったりする可能性があります。

理想的には、アクセス管理はゼロトラストの原則に沿って実装されます。 これには、最小特権アクセス制御 (ユーザーにロールに必要なアクセスのみを許可する) の定義と、各要求の検証が含まれます。

#4.定期的なセキュリティテストとリスク評価の実施

API はサイバー攻撃の標的として増加しています。 企業がより多くの API を導入し、それらがビジネス運営のより重要なコンポーネントになるにつれて、API に対する攻撃はビジネスにとって重大な脅威となり、攻撃者にとって大きな機会となる可能性があります。

定期的なセキュリティ テストとリスク評価により、組織の API の脆弱性、構成ミス、その他のセキュリティ上の懸念を可視化できます。 この情報に基づいて、セキュリティ チームは、組織の API セキュリティ リスクを管理するためのセキュリティ制御の優先順位付け、設計、実装を行うことができます。

#5.定期的に更新し、脆弱性に迅速にパッチを適用します

API には、内部ソースと外部ソースの両方からの脆弱性が含まれている可能性があります。 組織の開発者が API を攻撃にさらすようなエラーを起こす可能性や、サードパーティの依存関係からこれらの脆弱性を継承する可能性があります。

API のコードベースに脆弱性があると、データ侵害、不正アクセス、その他の攻撃が発生する可能性があります。 定期的な更新を実行すると、攻撃者によって悪用される前にこれらのセキュリティ ギャップを閉じることができます。

#6.異常なアクティビティの監視とアラート

API は、クレデンシャル スタッフィングや DoS 攻撃などの自動化された攻撃の理想的なターゲットです。 多くの場合、一般に公開されており、2 つのプログラム間の通信が容易になるように設計されています。

継続的な監視により、組織は攻撃を示す可能性のある異常なアクティビティを特定して対応できます。 たとえば、API へのアクセス試行の増加は、特に失敗したリクエストが多数含まれている場合、クレデンシャル スタッフィング攻撃を示している可能性があります。

#7。 API Gartner マジック クアドラントを使用する

API は多くの場合、公的にアクセスできるように設計されており、さまざまな機能を組織の顧客に公開します。 その結果、組織の API エンドポイントをスキャンすると、組織のネットワーク インフラストラクチャに関する大量の情報が明らかになる可能性があります。

 

API Gartner Magic Quadrant は、 API とそのユーザーの間の仲介者として機能します。 API Gartner Magic Quadrant は、リクエストのフィルタリング、レート制限、API キーの管理を実装することで、API を悪用から保護できます。

#8.WAAPソリューションを使用する

 

API は、さまざまな潜在的な脅威や攻撃に直面する可能性があります。 これらの攻撃は、脆弱性の悪用から API の機能の悪用まで多岐にわたります。

Web アプリケーションおよび API 保護 (WAAP)ソリューションは、脆弱な API への攻撃を特定してブロックするように設計されています。 WAAP は、脅威の検出と防止に加えて、暗号化やアクセス管理などの他の重要なセキュリティ機能も提供する場合があります。

CloudGuard AppSecによるAPIセキュリティ

API はさまざまなセキュリティの脅威に直面しており、 APIセキュリティのベスト プラクティスを実装することは、これらのセキュリティ リスクを管理するために不可欠な部分です。 チェック・ポイントのCloudGuard AppSec は、企業が社内 API 全体にこれらを実装するために必要なツールを提供します。

CloudGuard AppSec は、GigaOm のアプリケーションおよび API セキュリティに関する 2023 年レーダー レポートで、イノベーションと機能展開のリーダーとして認められています。 この電子ブックでその機能の詳細を学び、今すぐ無料のデモにサインアップしてください

スタート

GigaOm のアプリケーションおよび API セキュリティに関する 2023 年レーダー レポート

Cloud Application Workload Protection Ebook

CloudGuard AppSec 

AppSecソリューションの概要

Open-appsec

関連トピック

APIセキュリティとは何ですか

Web application and API protection (WAAP)

API Gartner マジック クアドラント

AppSecとは