資料の紹介
アプリケーションの開発・運用にWeb API(Application Programming Interface)が頻繁に利用されるようになった現在、APIのセキュリティのリスクを理解し、適切な対策を取ることは非常に重要だ。ある調査によると、アカウント乗っ取り攻撃の46%がAPIを標的にしたもので、脆弱性が含まれていたり認証が実装されていなかったりするAPIも数多く見つかっているという。
APIに対する脅威には大きく2種類ある。1つは従来から存在するWebアプリに対する脅威と同じものだ。Web APIはHTTP通信でやり取りされるため、分散DoS攻撃やボットの攻撃の対象になりやすい。もう1つは、認証の不備や制限のないリソース消費、機能レベルの認可の不備といったAPI固有の脅威である。
本資料では、Web APIに関する課題や脅威動向を解説し、自社APIとサードパーティAPIへのセキュリティ対策のポイントを解説する。併せて、こうした脅威や課題に対し、包括的に対策を施すことができる製品を紹介。データの意図しない公開・欠損・改ざん、アカウント乗っ取り、システムへの侵入を防ぐためにも、APIのリスクをきちんと把握し、セキュリティ対策を講じておきたい。
