OWASP トップ 10 セキュリティ脅威から API を保護する
Megan Bruce
Outbound Product Manager, Google Cloud
※この投稿は米国時間 2025 年 3 月 15 日に、Google Cloud blog に投稿されたものの抄訳です。
API は最新鋭のサービスに不可欠な要素であり、機密性の高いデータが API でやり取りされることもよくあります。適切な認証、認可、データ漏洩に対する保護がなければ、組織やエンドユーザーはサイバー攻撃のリスクにさらされることになります。
Open Worldwide Application Security Project(OWASP)は、API を含むソフトウェア セキュリティの重要な分野について、コミュニティ主導のドキュメントや標準を開発し、公開しています。API は現在、インターネット トラフィックの半分以上を占めていると推定されています。
AI の導入が進むにつれて、この割合はさらに増える可能性があります。なぜなら、基盤モデルの構築、AI 機能をアプリケーションに統合するプロセスの合理化、異なるプラットフォームで実行されるモデル間の相互運用性の促進、AI モデルのトレーニングや改善に必要なリアルタイム データへの継続的なアクセスのために、AI はすでに API に大きく依存しているからです。
組織が API セキュリティ戦略を導入する際は、API への依存度が高く、その傾向が強まっている現状を考慮する必要があります。OWASP トップ 10 API セキュリティ脅威のガイダンスは、このための出発点となります。Google は、このリストを基に、OWASP が特定した各リスクに対する軽減策の推奨事項を追加した新しいホワイトペーパー「 Mitigating OWASP Top 10 API Security Threats(OWASP トップ 10 API セキュリティ脅威の緩和策)」を作成しました。このホワイトペーパーでは、各脅威の詳細と、Google Cloud の API 管理プラットフォームである Apigee が API のリスク管理にどのように役立つかを説明しています。
OWASP トップ 10 API セキュリティ リスクへの対応
API セキュリティ プログラムを開始したばかりの組織にとって、OWASP トップ 10 API セキュリティ脅威のリストは良い出発点となります。このリストでは、組織が API システムを保護するために対処すべき最も重大な脆弱性を示しており、セキュリティ脅威を、認証、認可、リソース管理、セキュリティの構成ミス、サードパーティのリスクというテーマに大別しています。
オブジェクト レベルの認可の不備(BOLA: Broken Object Level Authorization)、オブジェクト プロパティ レベルの認可の不備(BOPLA: Broken Object Property Level Authorization)、 機能レベルの認可の不備(BFLA: Broken Function Level Authorization)などの脆弱性は、攻撃者がアクセス制御をバイパスし、データや機能を操作することを可能にするため、特に懸念すべきものです。
BOLA は、API が個々のデータ オブジェクトに対して適切なアクセス制御を適用できない場合に発生し、攻撃者が不正にデータにアクセスしたり、変更したりすることを可能にします。BOPLA は、データ オブジェクト内の個々のプロパティに対してアクセス制御対策が効果的に適用されない場合に発生し、攻撃者が機密属性を操作することを可能にします。BFLA は、API 内の特定の機能や操作に適切なアクセス制御メカニズムがない場合に発生し、攻撃者が不正な操作を実行することを可能にします。
認証の脆弱性(認証の不備など)は、なりすましや不正アクセスにつながる可能性があります。制限のないリソース消費や、機密性の高いビジネスフローへの制限のないアクセスは、業務の中断や、攻撃者に悪用される可能性のある重要データの公開にもつながりかねません。
セキュリティの構成ミスや API の不適切なインベントリ管理は、攻撃者に悪用される脆弱性をさらに生み出す可能性があります。また、サードパーティ API を安全でない方法で使用すると、それらの API の脆弱性によって使用中の API のセキュリティが脅かされるため、外部リスクが生じます。
これらの脅威に対処するには、堅牢なアクセス制御、安全な認証メカニズム、適切なリソース管理、徹底したセキュリティ構成、サードパーティ API の慎重なインテグレーションなど、多層的なアプローチが必要です。
Apigee と Advanced API Security によるセキュリティ リスクの軽減
Google Cloud の API 管理プラットフォームである Apigee を使用すると、API プラットフォーム チームはこのような攻撃からバックエンド サービスを保護できる安全な API プロキシをプログラムしてデプロイできます。以下の表は、OWASP トップ 10 API セキュリティ リスクから API を保護するのに役立つ Apigee と Advanced API Security の具体的な機能の一部を紹介するものです。
API とアプリケーションのセキュリティに階層的なアプローチを採用する場合は、Apigee と Advanced API Security を Cloud Armor などのウェブ アプリケーション ファイアウォール(WAF)と併用できます。Cloud Armor が備える DDoS 攻撃に対する堅牢な保護機能(L3 / L4 DDoS 防御機能や DDoS 攻撃のしきい値など)は、制限のないリソース消費やその他のセキュリティ脅威に対する保護を強化するのに役立ちます。
Apigee で API の保護を始める
Apigee を使用して OWASP トップ 10 API セキュリティ脅威を軽減する方法の詳細については、無料のホワイトペーパーをご覧ください。上記の脅威について詳しく説明しているほか、脅威からの保護に役立つプロダクトの機能についても紹介しています。
Apigee に組み込まれているセキュリティ ポリシーと Advanced API Security の機能の詳細については、ドキュメントをご覧ください。4 月に開催される Google Next に参加される方は、Google Cloud による API と AI のセキュリティ リスクの軽減に関するセッションもご確認ください。
-Google Cloud、アウトバウンド プロダクト マネージャー Megan Bruce