「危険なAPI」はなぜ生まれる? 忘れてはいけない超基本APIを危険にさらす「5大リスク」とは【後編】

APIを安全に利用するには、APIを危険にさらす可能性のあるセキュリティリスクを知っておくことが重要だ。API利用時のリスクとして、権限付与やロギングに関する注意点を紹介する。

2023年11月22日 05時00分 公開
[Twain TaylorTechTarget]

関連キーワード

API | 脆弱性 | サイバー攻撃


 昨今のアプリケーション開発に欠かせなくなったAPI(アプリケーションプログラミングインタフェース)を安全に利用するには、まずはセキュリティリスクを知ることが大切だ。安全を徹底するには、さまざまな点に注意が要る。APIの5大セキュリティリスクのうち、4つ目と5つ目を紹介する。

4.機能レベルの権限付与

 APIの特定の機能やデータへのアクセスを制限するのが「機能レベル」だ。機能レベルの権限付与に不備がある場合は、APIへの不正アクセスが可能になり、情報流出といった事態を招く恐れがある。この問題を防ぐためには、機能レベルで権限付与を実施する管理ツールを採用し、許可されたユーザーのみが機密情報にアクセスできるようにすることが重要だ。それに加え、不正アクセスがあった場合に備えて、管理者に警告を送るツールの導入も検討するとよい。

5.不十分なロギングとモニタリング

 APIのロギング(操作記録)とモニタリング(監視)を正しく実施していないと、早い段階で攻撃に気付くことができない。ロギングとモニタリングが不十分になる原因として、主に以下が考えられる。

  • そもそもログを取っていないか保持していない
  • ロギングに一貫性がないなど不完全な点がある
  • リアルタイムにモニタリングしていない
  • アラートが不十分

 こうした問題によるリスクを軽減するためには、APIのリクエスト、レスポンス、エラーを全て記録するロギングツールを導入することが重要だ。異常な動きがあったらすぐにアラートが出る仕組みも作り、攻撃を水際で防げるようにしよう。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news139.jpg

「Fortnite」を活用  朝日広告社がメタバース空間制作サービスとマーケティング支援を開始
朝日広告社は、人気ゲーム「Fortnite」に新たなゲームメタバース空間を公開した。また、...

news029.jpg

「痩せる」投稿が最も増える時期は?――ホットリンクとXがダイエットに関する口コミや検索行動を共同調査
ホットリンクはXと共同で、ダイエットに関するXでの口コミや検索行動を調査しました。

news101.jpg

郵送業務を電子化する理由 3位「テレワークへの対応」、2位「業務の迅速化・省力化」で1位は?――リンクス調査
キャンペーンのお知らせや新商品の紹介のダイレクトメールなど、個人宛てに送付する郵便...