「危険なAPI」はなぜ生まれる? 忘れてはいけない超基本APIを危険にさらす「5大リスク」とは【後編】

APIを安全に利用するには、APIを危険にさらす可能性のあるセキュリティリスクを知っておくことが重要だ。API利用時のリスクとして、権限付与やロギングに関する注意点を紹介する。

2023年11月22日 05時00分 公開
[Twain TaylorTechTarget]

関連キーワード

API | 脆弱性 | サイバー攻撃


 昨今のアプリケーション開発に欠かせなくなったAPI(アプリケーションプログラミングインタフェース)を安全に利用するには、まずはセキュリティリスクを知ることが大切だ。安全を徹底するには、さまざまな点に注意が要る。APIの5大セキュリティリスクのうち、4つ目と5つ目を紹介する。

4.機能レベルの権限付与

 APIの特定の機能やデータへのアクセスを制限するのが「機能レベル」だ。機能レベルの権限付与に不備がある場合は、APIへの不正アクセスが可能になり、情報流出といった事態を招く恐れがある。この問題を防ぐためには、機能レベルで権限付与を実施する管理ツールを採用し、許可されたユーザーのみが機密情報にアクセスできるようにすることが重要だ。それに加え、不正アクセスがあった場合に備えて、管理者に警告を送るツールの導入も検討するとよい。

5.不十分なロギングとモニタリング

 APIのロギング(操作記録)とモニタリング(監視)を正しく実施していないと、早い段階で攻撃に気付くことができない。ロギングとモニタリングが不十分になる原因として、主に以下が考えられる。

  • そもそもログを取っていないか保持していない
  • ロギングに一貫性がないなど不完全な点がある
  • リアルタイムにモニタリングしていない
  • アラートが不十分

 こうした問題によるリスクを軽減するためには、APIのリクエスト、レスポンス、エラーを全て記録するロギングツールを導入することが重要だ。異常な動きがあったらすぐにアラートが出る仕組みも作り、攻撃を水際で防げるようにしよう。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news135.png

インターネットの利用環境、女性の66%は「スマホのみ」――LINEヤフー調査
LINEヤフーが実施した2023年下期のインターネット利用環境に関する調査結果です。

news108.png

LINEで求職者に合った採用情報を配信 No Companyが「チャットボット for 採用マーケティング」を提供開始
就活生が身近に利用しているLINEを通して手軽に自社の採用情報を受け取れる環境を作れる。

news102.jpg

GoogleがIABのプライバシーサンドボックス批判に猛反論 完全論破へ42ページのレポートを公開
Googleは、米インタラクティブ広告協会から寄せられた批判について「多くの誤解と不正確...