「危険なAPI」はなぜ生まれる？ 忘れてはいけない超基本：APIを危険にさらす「5大リスク」とは【後編】

APIを安全に利用するには、APIを危険にさらす可能性のあるセキュリティリスクを知っておくことが重要だ。API利用時のリスクとして、権限付与やロギングに関する注意点を紹介する。

[Twain Taylor，TechTarget]

　昨今のアプリケーション開発に欠かせなくなったAPI（アプリケーションプログラミングインタフェース）を安全に利用するには、まずはセキュリティリスクを知ることが大切だ。安全を徹底するには、さまざまな点に注意が要る。APIの5大セキュリティリスクのうち、4つ目と5つ目を紹介する。

4．機能レベルの権限付与

併せて読みたいお薦め記事

連載：APIを危険にさらす「5大リスク」とは

• 前編：「便利なだけのAPI」はむしろ悪？　なぜリスクを考慮すべきか
• 中編：APIを狙う「インジェクション攻撃」から個人情報を守るには？

知っておきたい、「API」を巡るセキュリティ対策

• 犯罪者に狙われ始めた「API」　その笑えない理由
• APIを安全に利用する4つのセキュリティ対策、具体的な実装方法は？

　APIの特定の機能やデータへのアクセスを制限するのが「機能レベル」だ。機能レベルの権限付与に不備がある場合は、APIへの不正アクセスが可能になり、情報流出といった事態を招く恐れがある。この問題を防ぐためには、機能レベルで権限付与を実施する管理ツールを採用し、許可されたユーザーのみが機密情報にアクセスできるようにすることが重要だ。それに加え、不正アクセスがあった場合に備えて、管理者に警告を送るツールの導入も検討するとよい。

5．不十分なロギングとモニタリング

　APIのロギング（操作記録）とモニタリング（監視）を正しく実施していないと、早い段階で攻撃に気付くことができない。ロギングとモニタリングが不十分になる原因として、主に以下が考えられる。

• そもそもログを取っていないか保持していない
• ロギングに一貫性がないなど不完全な点がある
• リアルタイムにモニタリングしていない
• アラートが不十分

　こうした問題によるリスクを軽減するためには、APIのリクエスト、レスポンス、エラーを全て記録するロギングツールを導入することが重要だ。異常な動きがあったらすぐにアラートが出る仕組みも作り、攻撃を水際で防げるようにしよう。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。