なぜ「API」が“攻撃の温床”に？ 狙われるこれだけの理由：APIのリスクと対策【前編】

アプリケーション連携のためにAPIを公開する動きが広がっているが、API公開とセットで考える必要があるのがセキュリティ対策だ。API公開時の8つのリスクと対策を解説する。

[John Burke，TechTarget]

　企業は自社アプリケーションのAPI（アプリケーションプログラミングインタフェース）を公開することで、他社のアプリケーションとの連携を促進するなどビジネスの可能性を広げることができる。しかしAPIにセキュリティの脆弱（ぜいじゃく）性が潜んでいれば、API公開は攻撃を受ける結果につながりかねない。アプリケーション連携を安全にするために知っておくべき、APIの“8つのリスク”と対策を紹介する。

1．脆弱な認証

併せて読みたいお薦め記事

APIのセキュリティリスクとは

• 「危ない『API』」はこうして生まれる
• 「危険なAPI」はなぜ生まれる？　忘れてはいけない超基本

　APIを安全に運用するためには、強固な「認証」の仕組みが重要だ。認証によって、APIにリクエストを送信する主体（エンティティー）が正当なエンティティーであることを確認する必要がある。アプリケーションの開発過程において、APIの認証の仕組み作りを軽視してはいけない。APIの認証が脆弱になれば、当然の結果として攻撃者によるAPI侵害が発生しやすくなる。APIの侵害はデータ流出に限らず、不正なコード入力のリスクももたらす。

対策

　アプリケーションの開発工程においてセキュリティを強く意識し、できるだけ強固な認証の仕組みを作ることを目指すべきだ。そのためには、アプリケーション開発者がセキュリティ担当者と密に連携し、ペネトレーション（侵入）テストといった手法によって不適切な認証ができないかどうかを確認しながら進めることが欠かせない。

2．アクセス制御の不備

　APIリクエストの発信元の特定と、それに基づいた適切なアクセス制御が、APIのセキュリティ管理に欠かせない。アクセス権の管理が不十分だと、正当なビジネスパートナーがアプリケーション連携のために必要なデータを取得できなくなる可能性がある。一方で、「広過ぎるアクセス権の付与」も要注意だ。APIユーザーが不要なデータを閲覧や操作をしたり、攻撃者が情報を盗んだりするリスクがある。

対策

　アクセス制御の本番環境を開始する前、ユーザーの受け入れテストを実施し、APIが適切に認証されたリクエストに対して必要なデータへのアクセスを許可するようになっていることを確認しよう。テストには、テストアカウントが許可していないデータの取得やアクション実行要求も含めるとよい。

3．DoS（サービス拒否）／DDoS（分散型サービス拒否）攻撃

　APIはインターネットに接続されているので、DoS（サービス拒否）やDDoS（分散型サービス拒否）の対象となり得る。これらの攻撃はAPIに大量のトラフィック（ネットワークで送受信するデータの総称）を送信する。その負荷が、サーバが処理し切れないほどになればビジネスに悪影響が及びかねない。DoS攻撃やDDoS攻撃により、APIが正当なリクエスト（要求）を迅速に処理できなくなる可能性もある。

対策

　リクエストが処理される前にリクエストを待ち行列に入れる「キューイング」や、リクエストの速度制限をかける「スロットリング」などが有効な対策になる。

4．サーバサイドリクエストフォージェリ（SSRF）攻撃

　サーバサイドリクエストフォージェリ（SSRF）攻撃は公開サーバ（インターネットを介してアクセスできるサーバ）から内部サーバ（社内のネットワークに設置するサーバ）に不正なリクエストを送信し、内部サーバへの侵入を図る手法だ。SSRF攻撃ではAPIが侵入に悪用されることがある。具体的には、攻撃者がAPIを悪用して不正リクエストを送信し、APIを通じて標的システムへのアクセスを試みる。

対策

　入力されたURLの種類と範囲を制限し、意図した動作のみを実行できるようにすることが重要だ。最新のURLパーサー（URLを解析するツール）を使用し、URLが適切に形成されているかどうかを確認しよう。全ての通信を危険と見なす「ゼロトラストセキュリティ」の考えをAPIにおいても実装することで、SSRF攻撃を受けるリスクを軽減できる。

---

　中編は、APIのセキュリティリスクの第2弾をお届けする。

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。