APIセキュリティテストとは?
APIとは、異なるソフトウェアコンポーネントやシステム間での連携とデータ交換を可能にするために定義された、一連のルールやプロトコルの枠組みです。APIは、クラウドストライクの先進的なデジタルインフラストラクチャを支える推進力であり、システム間でプログラムを通じた通信と機能の共有を可能にします。
APIは広く普及しており、私たちの日々のデジタル生活における多くの活動の背後で重要な役割を果たしています。また、APIが機密情報にアクセスすることも珍しくありません。そのため、APIは悪意のあるアクターにとって主要な標的となっています。特に注目すべきは、2016年に発生したUberのAPIを狙った攻撃であり、この攻撃により60万人のドライバーと5,700万人のユーザーの個人情報が流出しました。Uberには1億4,800万ドルの罰金が科せられました。この事例により、APIの脆弱性が引き起こす可能性のある損害と、APIセキュリティテストの重要性が示されました。
API開発プロセス全体を通して、チームが早期にできるだけ多くの脆弱性に対処するには、APIセキュリティテストが役立ちます。この記事では、一般的なAPIの脆弱性と、APIライフサイクル全体を通じて活用できる効果的なテスト手法について解説します。
APIの一般的な脆弱性
APIの主な役割はデータ交換を可能にすることですが、適切にセキュリティが確保されていないと、攻撃者がAPIを悪用して機密データにアクセスしたり、機能を停止させたりする危険があります。Open Web Application Security Project (OWASP) では毎年、APIセキュリティリスクのトップ10リストを公開しています。APIのセキュリティ保護とテストを担当するDevSecOpsチームにとって、このOWASPトップ10リストは有用なリソースとなります。このセクションでは、このリストに挙げられている最も一般的な脆弱性のいくつかを取り上げます。
オブジェクトレベルの認可の不備
オブジェクトレベルの認可の不備 (BOLA) は、ユーザーに特定のデータオブジェクトに対するアクセスや特定のアクションの実行が認可されているかどうかを、APIで検証していない場合に生じる脆弱性です。攻撃者はこの脆弱性を悪用し、リクエストやオブジェクトIDを改ざんして他のユーザーのデータにアクセスします。この脆弱性は通常、アクセス制御が適切に実装されていないことが原因です。
たとえば、この脆弱性により、従業員がリクエストのパラメーターやオブジェクトIDを操作して、制限された情報(他の従業員の給与データなど)にアクセスすること、機密データを流出させること、あるいは機密性の高いファイルにアクセスすることが考えられます。
認証の不備
認証の不備は、APIでユーザーのアイデンティティを適切に検証していない場合に生じる脆弱性です。ユーザーデータにアクセスしようと試みる攻撃者にとって、この脆弱性は絶好の標的となります。これらの脆弱性が生じる原因は多くの場合、認証プロトコルの不完全な実装、そして脆弱なパスワードポリシーです。
たとえば、ユーザーが脆弱なパスワードでログインできる銀行アプリケーションを考えてみましょう。このような安全でない実装は、ブルートフォース攻撃によって攻撃者が脆弱なパスワードを推測し、機密データへのアクセスを許す可能性があるため、認証の不備と見なされます。このアプリケーションには、パスワード以外のセキュリティ対策(OTP(ワンタイムパスワード)やMFA(多要素認証))は追加されていません。このような安全でない実装は、ブルートフォース攻撃によって攻撃者が脆弱なパスワードを推測し、機密データへのアクセスを許す可能性があるため、認証の不備と見なされます。
過度のデータ公開
過度のデータ公開は、APIが実際に必要なデータ以上の情報を返し、その隠蔽をクライアントに依存する場合に発生する脆弱性です。この脆弱性の原因が、不十分な設計やデータフィルタリングの欠如にあることは珍しくありません。しかしながら、過度のデータ公開は、深刻なデータ侵害や詐欺、さらにはユーザーの信頼の失墜につながる恐れがあります。
たとえば、アカウントデータとともにクレジットカード番号などの機密情報を送信するAPIが、アプリケーションのフロントエンドHTMLやCSSでその機密データを隠蔽することに依存しているとします。このシナリオでは、攻撃者がソースコードを調査したり、直接APIリクエストを送信したりして、機密データにアクセスする可能性があります。
セキュリティの設定ミス
セキュリティの設定ミスは、APIが適切に設定されていないか、安全でないデフォルト設定で展開されている場合に生じる脆弱性です。これにより、APIが攻撃に対して脆弱になったり、機密データが誤って公開されたりする可能性があります。設定ミスの多くは、APIの導入時にセキュリティへの認識が不足していたことや、必要なセキュリティパッチが適用されなかったことに起因しています。
セキュリティの設定ミスの一例は、本番環境でデバッグモードを有効にした状態のままにすることです。これにより、攻撃者がエクスプロイトして悪用できる機密情報(APIキーやサードパーティの認証情報など)が公開される可能性があります。
レート制限の不備
レート制限とは、APIの特定のエンドポイントに対して、ユーザーやシステムが一定の時間枠内で送信できるリクエストの数を制限する仕組みです。これは、サービス拒否 (DoS) 攻撃を防ぎ、パスワードを推測するためのブルートフォース攻撃を阻止するために使用されるセキュリティ技術です。
攻撃者はレート制限の不備を悪用し、多数のAPI呼び出しを行ってシステムに過剰な負荷をかけ、サービスのダウンタイムを引き起こすことがあります。
この脆弱性は、開発者がレート制限の必要性を見落としたり、無視したりすることで発生します。レート制限をないがしろにすると、サービスのダウンタイムが発生し、その結果、ビジネスの収益性や顧客体験に悪影響を与え、ビジネスパフォーマンスにも打撃を与えることになります。
2024年版脅威ハンティングレポート
クラウドストライク2024年版脅威ハンティングレポートでは、245を超える現代の攻撃者の最新の戦術を明らかにし、これらの攻撃者がどのように進化し続け、正当なユーザーの振る舞いを模倣しているかを示します。侵害を阻止するためのインサイトをこちらから入手してください。
今すぐダウンロードAPIセキュリティテスト:ライフサイクルアプローチ
APIセキュリティテストは、APIのライフサイクル全体にわたる継続的なセキュリティプロセスです。開発フェーズと運用フェーズを通じて継続的にテストを実施することで、DevSecOpsチームは脆弱性を早期に発見し、対処することができ、本番環境で攻撃が悪用されるリスクを最小限に抑えることができます。
APIセキュリティテストは、セキュリティ対策の評価、テスト、実装を体系的に行うことに重点を置いています。APIセキュリティテストは、次の各段階で実施します。
検出とインベントリ
検出とインベントリの段階では、すべてのAPIをカタログ化します。カタログ化されるAPIには、内部API、サードパーティAPI、シャドーAPIが含まれます。セキュリティの観点から見ると、APIの機能によってその機密性が決まり、脆弱性の影響の受けやすさや、それにどう対処すべきかについてのインサイトが得られます。
シフトレフトテスト
開発アプローチとして広く用いられているシフトレフトテストとは、テストを開発プロセスの初期段階で開始する手法を指します。APIセキュリティテストにおけるシフトレフトのアプローチでは、継続的インテグレーション/継続的デリバリー (CI/CD) パイプライン内でAPIをテストして、セキュリティの脆弱性の有無を確認します。この方法により、脆弱性を早い段階で検出し、対応できるため、後に深刻な問題が発生するリスクを低減できます。
ランタイム保護
APIセキュリティは、開発時にとどまらず、ランタイム時におけるリアルタイムの保護も含まれます。これには、攻撃を示唆する、または攻撃につながる可能性のある不審なアクティビティを特定するために、APIを継続的にモニタリングすることが含まれます。APIテスト向けのAIや機械学習ツールを活用すれば、振る舞いパターンを分析し、サイバー攻撃のリアルタイムでの検知と対応に役立てることができます。
コンテキストに基づく脅威の検知
APIセキュリティをさらに強化するためには、APIの使用パターンを分析し、監視することで、他の検知手法では見逃される可能性のあるローアンドスロー攻撃を特定することが重要です。APIトラフィックを経時的に監視することで、セキュリティチームは脅威を示唆する段階的な変化を特定できます。こうしたコンテキストに基づく脅威の検知によって、標準的なテストでは一般的に見つからない脆弱性が明らかになり、全体的なセキュリティ戦略が強化されます。
脅威緩和の自動化
APIの脆弱性を見つけて修復するために自動化されたツールを使用すれば、セキュリティチームはより迅速にセキュリティ問題を検知し、解決することができます。脅威の緩和プロセスを自動化することで、セキュリティ対策が一貫して適用され、現在および将来のリスクに対するAPI保護が強化されます。
包括的なソリューションによるAPIのテストとセキュリティ強化
APIは非常に大きな利点を提供します。APIを利用すると、より迅速で応答性に優れたサービスを実現できますが、その一方で攻撃者にとっては絶好の標的にもなり得ます。APIの脆弱性を特定することは第一歩として有効ですが、急速に進化する脅威からAPIを真の意味で保護するには、堅牢で包括的なAPIセキュリティ戦略が必要です。
クラウドストライクとSalt Securityのパートナーシップは、APIセキュリティテストのライフサイクル全体を通じてAPIを保護することを目的としています。このAPIの保護の統合により、API(非公開のものを含む)を自動的に検出し、インベントリ化することができ、シフトレフトテストを通じて脆弱性を早期に特定できます。リアルタイムでのモニタリングと保護により、開発から展開までのすべての段階でAPIを継続的に保護することができます。
クラウドストライクとSalt SecurityがどのようにAPIを保護するかをご覧ください。
カリシュマ・アスタナ(Karishma Asthana)はニューヨークを拠点とする、クラウドストライクのクラウドセキュリティ担当シニアプロダクトマーケティングマネージャーです。トリニティ・カレッジでコンピュータサイエンスの学士号を取得。ソフトウェアエンジニアリングとペネトレーションテストのバックグラウンドを持ち、その技術的背景を活かして技術の進歩と顧客価値を結びつけています。クラウドとエンドポイントセキュリティの両分野で5年以上の製品マーケティング経験を有しています。
