企業は自社アプリケーションのAPIを公開する際、さまざまなセキュリティのリスクを想定して対策を講じなければならない。具体的にはどうすればいいのか。
企業間のアプリケーション連携のためにAPI(アプリケーションプログラミングインタフェース)を公開する取り組みが広がっている。API公開はビジネスの可能性を拡大するために重要なものだが、企業にさまざまなセキュリティのリスクをもたらすことに注意しなければならない。APIを安全に公開するために知っておきたい“8つのリスク”と対策とは何か。本稿はその第2弾をお届けする。
APIを処理する「APIハンドラー」はユーザーからの入力を十分な検証無しに受け入れることがある。そのため、SQLインジェクション攻撃やバッファオーバーフロー攻撃、サーバサイドリクエストフォージェリ(SSRF)攻撃などを受けるリスクがある。これらの攻撃の特徴は以下の通り。
リクエスト元からの入力を受け入れる前に、入力内容を検証する仕組みが有用だ。
企業のデータセキュリティポリシーで許可されている以上の情報を、APIが公開する場合がある。これにより、個人情報やビジネスの機密情報が不適切に公開されるリスクが生じる。過剰なデータ公開が発生する原因の一つは、APIの本番環境で扱うデータセットがテスト環境よりも多様になることだ。認証の問題が原因になることもある。
レコード数に制限を設ける一方で、含まれるデータタイプやフィールドには制限を設けずにテストを実施して、データの共有範囲が適切かどうかを検証する。データ公開を監視し、必要に応じて不適切なものをブロックする「データ損失防止」(DLP)ツールの使用も推奨される。
組織内部のシステムが組織外のシステムと同じAPIに依存している場合、企業のビジネスはAPIユーザーによる干渉を受けやすくなる。もしAPIがDoS(サービス拒否)やDDoS(分散型サービス拒否)攻撃の標的にされたら、組織外のシステムだけではなく組織内部のシステムも影響を受けてビジネスに支障を来す可能性がある。
内部向けと外部向けのAPIを分離し、外部APIへの攻撃が内部APIに直接影響を与えないようにする。
APIを公開する企業には、以下のような一般的なリスクもある。
後編は、API利用におけるリスクに焦点を当てる。
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
Omnicomが Interpublic Groupを買収 世界最大級の広告会社が誕生へ
OmnicomがInterpublic Group(IPG)を買収する。これにより、世界最大の広告会社が誕生し...
インテントデータ×キーエンス出身者のノウハウで実現 ABMを先に進める最先端の営業手法とは?
ユーソナーとGrand Centralは提携し、営業売り上げ拡大のためのBPOパッケージを提供開始...
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2024年12月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...