API脆弱性診断サービス
近年ではパソコンだけでなく、モバイルアプリなど様々な端末がWebAPIを使用したアプリケーションでデータをやり取りしています。
API脆弱性診断サービスは、包括的かつ詳細にエンドポイントを調査し、潜在的な脆弱性がないか診断いたします。データの不正取得や予期せぬエラーを防ぐために、リクエスト・レスポンスのヘッダーおよびペイロードを解析いたします。
-
ツール診断&セキュリティ専門家による手動診断のハイブリッド診断
「ツール診断」と「手動診断」を組み合わせたハイブリッド診断により、診断ツールのみの表面的な診断サービスでは対応できない「広くて深い」診断を実現しています。
-
業界標準の脆弱性項目を漏れなくカバーする診断項目
セキュリティ団体OWASPでは、APIに関するリスクと脅威について指針を提供することを目的としてOWASP Top 10 API Security Risksを発表しています。
サイバーセキュリティクラウドのAPI脆弱性診断サービスは、最新版のOWASP Top 10 API Security Risksの「脆弱性項目」をすべて網羅しています。 -
診断後に結果を元にしたAPI仕様書、ドキュメントをご提供
API仕様書がない場合でも問題ありません。
診断の結果を元に仕様書を作成し、提供いたします。さらに、APIドキュメントも作成し、開発ツール等で読み込むことができるOpenAPI(Swagger)形式で提供いたします。
診断項目一覧
API脆弱性診断サービスは、以下の診断項目の診断を行います。
| 項目名 | 内容 |
|---|---|
| オブジェクトレベルの認可の不備 | 攻撃者がAPIリクエスト内のオブジェクトIDを不正に変更することによる、許可されていないオブジェクトにアクセスできてしまう可能性を確認します。 |
| 認証の不備 | 認証メカニズムが適切に実装されていないことによる、トークンベースの認証システムの脆弱性や、他のユーザへのなりすまし等、APIの認証システムに潜在する脆弱性の可能性を確認します。 |
| オブジェクトプロパティレベルの認可の不備 | オブジェクトの特定のプロパティへのアクセス制限を適切に行っていないことによる、データの改ざんや情報のの漏えいにつながる可能性を確認します。 |
| 制限のないリソース消費 | APIリクエストによって消費されるリソース(ネットワーク帯域、メモリなど)の管理を適切に行っていないことによる、サービス拒否攻撃や運用コストの増加につながる可能性を確認します。 |
| 機能レベルの認可不備 | 管理者しか実行できない機能を一般ユーザが実行できてしまう等、機能レベルのアクセス制限が適切に行われていない可能性を確認します。 |
| 機密性の高いビジネスフローへの無制限のアクセス | 攻撃者によるAPIへの過度なアクセスについて適切に制限されていないことによる、様々な形でのビジネスフローへの悪影響が発生する可能性について確認します。 |
| サーバサイドリクエストフォージェリ | ユーザが入力したURIをAPIが適切に検証していないことによる、外部から直接アクセスできないサーバに対してリクエストが送信できる可能性を確認します。 |
| セキュリティの設定ミス | セキュリティパッチやソフトウェアのバージョンが最新でない、セキュリティ上不適切な設定になっている、クラウド環境に不適切なアクセス制御がされている等、サーバレベルの設定不備の可能性を確認します。 |
| 不適切なインベントリ管理 | エンドポイントやAPIバージョンの管理が適切に行われていないことによる、廃止されたAPIバージョンや露出したデバッグ用のエンドポイント等が悪用可能かを確認します。 |
| 安全でない外部APIの使用 | 外部から提供されるAPIについて、APIと相互作用するエンドポイントを過度に信頼した結果、適切な検証や保護を行わないことによる、APIのセキュリティ上の欠陥が悪用される可能性を確認します。 |
| インジェクション | 攻撃者がAPIリクエストに不適切なデータを設定することによるSQLインジェクションやクロスサイトスクリプティングなど、データ漏えいや任意のプログラム実行の可能性を確認します。 |
サイバーセキュリティクラウドの
脆弱性診断サービスに関して
ご不明な点がございましたら
お気軽にお問い合わせください