OWASP API セキュリティ トップ 10 の概要とベスト プラクティス

プライバシーを確保し、ユーザーと関係者の信頼を維持し、API の機密性、整合性、可用性を確保するために、データを不正アクセス、操作、または公開から保護するには、強力な API セキュリティ対策が必要です。 API セキュリティのベスト プラクティスは次のとおりです。

• 強力な認証と承認を実装します。 適切な承認チェックを実施して、認証されたクライアントが特定のリソースにアクセスしたり特定のアクションを実行したりするために必要な権限を持っていることを確認します。 きめ細かいアクセス制御を使用して、機密性の高い API エンドポイントやデータ、および関連するオブジェクトや関数へのアクセスを制限します。
• 入力および出力のエンコーディングを検証します。 API クライアントから受信したすべての入力を検証およびサニタイズしてインジェクション攻撃を防ぎ、出力を適切にエンコードして悪意のあるスクリプトの実行を防止します。
• 安全な通信を使用してください。 API クライアントとサーバー間のデータ転送には安全なプロトコルを採用し、転送中および保存中の機密情報を暗号化して、データの機密性と整合性を確保します。 
• レート制限とスロットルを実装します。 分散型サービス拒否 (DDoS) 攻撃やブルート フォース攻撃などの過度の使用や不正アクセスの試みを防ぐために、指定された時間枠内で API クライアントが実行できるリクエストの数に制限を適用します。
• 定期的なセキュリティ テストと監査を実施します。 定期的なセキュリティ評価、侵入テスト、コードレビューを実行して、API の潜在的な脆弱性を特定して対処し、セキュリティ監査を実施して弱点を検出し、業界の標準と規制に準拠していることを確認します。 これは、API と基盤となるフレームワークおよびライブラリの相互依存性のため、特に重要です。
• スキーマとプロトコルの準拠を強制します。 OpenAPI 仕様を使用してポジティブ セキュリティ モデルを自動的に作成および適用することは、一貫したセキュリティ ポリシーを確保するための貴重なツールです。
• API を動的に検出し、継続的に評価します。 API の急増により、シャドー API を含む、説明のつかない、またはメンテナンスされていない API が発生しています。 セキュリティ制御では、サードパーティの相互依存性の予期しないリスクを軽減するために、ゼロ トラストと最小権限アクセス パラダイムを使用して API を継続的にインベントリし、保護する必要があります。 
• 包括的な脅威検出。 API は、エクスプロイト、誤った構成、ボット、詐欺、乱用など、さまざまな脅威にさらされており、それらから保護する必要があります。

OWASP API セキュリティ トップ 10 – 2023は、一般的な API セキュリティの弱点に対する認識を高め、開発者、設計者、アーキテクト、マネージャー、および API の開発と保守に携わるその他の人々が API セキュリティに対して積極的なアプローチを維持できるようにするために策定されました。

2023 年の OWASP API セキュリティのトップ 10 リスクは次のとおりです。  

1. オブジェクト レベルの認証が壊れています。 このセキュリティ脆弱性は、アプリケーションがオブジェクトまたはデータ レベルでアクセス制御を適切に実施できない場合に発生し、攻撃者が承認チェックを操作またはバイパスして、アプリケーション内の特定のオブジェクトまたはデータへの不正アクセスを許可できるようになります。 これは、承認チェックの不適切な実装、適切な検証の欠如、またはアクセス制御のバイパスが原因で発生する可能性があります。 オブジェクトの ID を受け取り、オブジェクトに対してアクションを実行するすべての API エンドポイントは、オブジェクト レベルの承認チェックを実装して、ログインしたユーザーが要求されたオブジェクトに対して要求されたアクションを実行する権限を持っていることを検証する必要があります。
2. 認証が壊れています。 API の認証メカニズムは不適切に実装されることが多く、攻撃者がユーザー アカウントや機密データに不正にアクセスしたり、不正なアクションを実行したりできるようになります。 これは通常、認証プロセスの不適切な実装または構成、弱いパスワード ポリシー、セッション管理の欠陥、または認証ワークフローのその他の弱点が原因で発生します。 
3. 壊れたオブジェクト プロパティ レベルの承認。 この脅威は、API がオブジェクト プロパティ レベルでアクセス制御と承認チェックを適切に実施できない場合に発生します。 API エンドポイントは、機密性が高いとみなされ、ユーザーが読み取るべきではないオブジェクトのプロパティを公開する場合、これらの攻撃に対して脆弱になります。このエクスプロイトは、過剰なデータ公開と呼ばれることもあります。 API エンドポイントは、ユーザーが機密オブジェクトのプロパティの値を変更、追加、または削除できるようにする場合、これらの攻撃に対して脆弱であり、このエクスプロイトはmass assignmentと呼ばれることもあります。
4. 無制限のリソース消費。 この攻撃はリソース枯渇とも呼ばれ、API 実装の弱点を悪用して、CPU、メモリ、帯域幅、その他のシステム リソースなどのリソースを意図的に過剰に消費します。 このサービス拒否 (DoS) により、API または基盤となるシステムのパフォーマンスや可用性が低下し、ダウンタイムが発生する可能性があります。  
5. 機能レベルの認証が壊れています。 この脅威は、API が機能レベルまたは操作レベルで承認チェックを適切に実施できず、攻撃者が許可されていない機能にアクセスできる場合に発生します。 最近のアプリケーションでは、多くの種類の機能ロールとグループが定義され、攻撃者が操作できる複雑なユーザー階層が含まれるため、適切な承認チェックを実装するのは混乱を招く可能性があります。 
6. 機密性の高いビジネス フローへの無制限のアクセス。 この攻撃は、API に適切なアクセス制御や承認チェックがない場合に発生し、攻撃者が API によって裏付けられた機密性の高いビジネス フローへのアクセスを自動化できるようになります。これらのビジネス フローは、チケットやスニーカーなど、価値が高く在庫の少ない製品の大量購入をサポートしている可能性があり、二次市場で値上げして再販される可能性があります。 攻撃者は、高度な自動化ツールキットを使用して攻撃を改良することが多く、ターゲットの Web アプリが自動化対策によって適切に保護されている場合は、API の背後にあるビジネス ロジックを標的にするようになる可能性があります。  
7. サーバー側リクエストフォージェリ (SSRF)。 この脆弱性は、ユーザーが指定した URL を受け入れたり、外部リソースに対してサーバー側のリクエストを実行したりする脆弱な API エンドポイントを攻撃者が特定した場合に発生します。 攻撃者は、攻撃者が標的とする内部リソースまたはシステムの URL を指定する悪意のあるリクエストを作成します。 サーバーは悪意のある意図に気付かず、指定された URL に対してサーバー側のリクエストを実行し、機密情報やサービスが公開される可能性があります。 
8. セキュリティの設定ミス。 攻撃者は、未修正の欠陥、共通のエンドポイント、安全でないデフォルト構成で実行されているサービス、または保護されていないファイルやディレクトリを見つけて、API への不正アクセスを試みます。この脆弱性は、ネットワークからアプリケーション レベルまで、API スタックのあらゆるレベルで適切なセキュリティ強化が行われていない場合、またはクラウド サービスに対する権限が不適切に構成されている場合に発生する可能性があります。 誤った構成は Web アプリや API に影響を及ぼし、アーキテクチャが分散化してマルチクラウド環境に分散されるようになるにつれて、リスクが増大します。
9. 不適切な在庫管理。 API は時間の経過とともに変更および更新されますが、古いバージョンや安全でないバージョンの API が運用環境に残されたり、古いエンドポイントがパッチを適用せずに実行されたり、セキュリティ要件が弱いまま使用されたりして、セキュリティ侵害のリスクが高まったりする可能性があります。 適切な在庫管理が行われていないと、どのバージョンが使用中か、どのバージョンが古くなったり非推奨になったりしているか、どの脆弱性が解決されているかを追跡することが困難になります。 シャドー API とゾンビ API は重大なリスクをもたらすため、継続的な検出と自動保護の重要性が強調されます。  
10. API の安全でない使用。 開発者は、サードパーティの API、特に有名企業が提供する API から受信したデータを信頼する傾向があり、入力の検証とサニタイズ、またはトランスポート セキュリティに関して、このデータに対してより弱いセキュリティ要件を採用します。 安全でないプロトコルを介して API にアクセスした場合や、適切な暗号化メカニズムが使用されていない場合にも、安全でない使用が発生し、盗聴、データ傍受、機密情報への不正アクセスにつながる可能性があります。