API脆弱性診断サービス

近年ではパソコンだけでなく、モバイルアプリなど様々な端末がWebAPIを使用したアプリケーションでデータをやり取りしています。

API脆弱性診断サービスは、包括的かつ詳細にエンドポイントを調査し、潜在的な脆弱性がないか診断いたします。データの不正取得や予期せぬエラーを防ぐために、リクエスト・レスポンスのヘッダーおよびペイロードを解析いたします。

近年ではパソコンだけでなく、モバイルアプリなど様々な端末がWebAPIを使用したアプリケーションでデータをやり取りしています。API脆弱性診断では、包括的かつ詳細にエンドポイントを調査し、潜在的な脆弱性がないか診断いたします。API脆弱性診断サービスは、包括的かつ詳細にエンドポイントを調査し、潜在的な脆弱性がないか診断いたします。データの不正取得や予期せぬエラーを防ぐために、リクエスト・レスポンスのヘッダーおよびペイロードを解析いたします。近年ではパソコンだけでなく、モバイルアプリなど様々な端末がWebAPIを使用したアプリケーションでデータをやり取りしています。API脆弱性診断では、包括的かつ詳細にエンドポイントを調査し、潜在的な脆弱性がないか診断いたします。API脆弱性診断サービスは、包括的かつ詳細にエンドポイントを調査し、潜在的な脆弱性がないか診断いたします。データの不正取得や予期せぬエラーを防ぐために、リクエスト・レスポンスのヘッダーおよびペイロードを解析いたします。

こんな状況では
ありませんか?

  • 新たにモバイルアプリを提供するが、APIを通して通信するため不正に利用されないか確認したい
  • サーバレスやマイクロサービス構成の環境でAPIを提供しているが、不用意な情報が提供されていないか確認したい
  • 情報をAPIで外部に公開している、または公開を検討している

API脆弱性診断
サービスの特徴

  • ツール診断&セキュリティ専門家による手動診断のハイブリッド診断

    「ツール診断」と「手動診断」を組み合わせたハイブリッド診断により、診断ツールのみの表面的な診断サービスでは対応できない「広くて深い」診断を実現しています。

  • 業界標準の脆弱性項目を漏れなくカバーする診断項目

    セキュリティ団体OWASPでは、APIに関するリスクと脅威について指針を提供することを目的としてOWASP Top 10 API Security Risksを発表しています。
    サイバーセキュリティクラウドのAPI脆弱性診断サービスは、最新版のOWASP Top 10 API Security Risksの「脆弱性項目」をすべて網羅しています。

  • 診断後に結果を元にしたAPI仕様書、ドキュメントをご提供

    API仕様書がない場合でも問題ありません。
    診断の結果を元に仕様書を作成し、提供いたします。さらに、APIドキュメントも作成し、開発ツール等で読み込むことができるOpenAPI(Swagger)形式で提供いたします。

お問い合わせ後の
サービスの流れ

サービス手順

内容

約1週間

お問い合わせ

お客様のご状況に合わせて、お問い合わせフォーム
からお問い合わせください。

診断サービスについて説明

お客様からのお問い合わせやご依頼などに基づき、
当社からサービス内容をご説明します。

診断対象の決定

見積に必要な診断対象の確認を行います。
同時にヒアリングシートをお渡しします。

見積提示

対象ページ数や診断条件から
実際の診断料金をお見積します。

診断サービス発注

見積内容や診断内容にご納得いただいた上でご発注ください。
ヒアリングシートのご提出をお願いいたします。

実施計画書の提示

ヒアリングシートを元にリスクを把握した上で、
実施計画書を作成します。
約2週間

診断実施

事前確認したリスク内容を踏まえ
APIの診断を行います。

報告書の提出

診断報告書を提出します。
簡易報告は診断日ごとに、正式版は診断開始から10営業日で提出します。
1ヶ月
以内

再診断

納品後のアフターケアとして、無料で修正確認の再診断を実施します。
※ 報告書提出後1か月以内で対応します

修正確認診断報告書の提出

診断において検出した脆弱性が正しく修正されているかを確認し、
修正確認診断報告書を提出します。
  • お客様による作業
  • 当社作業

診断項目一覧

API脆弱性診断サービスは、以下の診断項目の診断を行います。

項目名 内容
オブジェクトレベルの認可の不備 攻撃者がAPIリクエスト内のオブジェクトIDを不正に変更することによる、許可されていないオブジェクトにアクセスできてしまう可能性を確認します。
認証の不備 認証メカニズムが適切に実装されていないことによる、トークンベースの認証システムの脆弱性や、他のユーザへのなりすまし等、APIの認証システムに潜在する脆弱性の可能性を確認します。
オブジェクトプロパティレベルの認可の不備 オブジェクトの特定のプロパティへのアクセス制限を適切に行っていないことによる、データの改ざんや情報のの漏えいにつながる可能性を確認します。
制限のないリソース消費 APIリクエストによって消費されるリソース(ネットワーク帯域、メモリなど)の管理を適切に行っていないことによる、サービス拒否攻撃や運用コストの増加につながる可能性を確認します。
機能レベルの認可不備 管理者しか実行できない機能を一般ユーザが実行できてしまう等、機能レベルのアクセス制限が適切に行われていない可能性を確認します。
機密性の高いビジネスフローへの無制限のアクセス 攻撃者によるAPIへの過度なアクセスについて適切に制限されていないことによる、様々な形でのビジネスフローへの悪影響が発生する可能性について確認します。
サーバサイドリクエストフォージェリ ユーザが入力したURIをAPIが適切に検証していないことによる、外部から直接アクセスできないサーバに対してリクエストが送信できる可能性を確認します。
セキュリティの設定ミス セキュリティパッチやソフトウェアのバージョンが最新でない、セキュリティ上不適切な設定になっている、クラウド環境に不適切なアクセス制御がされている等、サーバレベルの設定不備の可能性を確認します。
不適切なインベントリ管理 エンドポイントやAPIバージョンの管理が適切に行われていないことによる、廃止されたAPIバージョンや露出したデバッグ用のエンドポイント等が悪用可能かを確認します。
安全でない外部APIの使用 外部から提供されるAPIについて、APIと相互作用するエンドポイントを過度に信頼した結果、適切な検証や保護を行わないことによる、APIのセキュリティ上の欠陥が悪用される可能性を確認します。
インジェクション 攻撃者がAPIリクエストに不適切なデータを設定することによるSQLインジェクションやクロスサイトスクリプティングなど、データ漏えいや任意のプログラム実行の可能性を確認します。

サイバーセキュリティクラウドの
脆弱性診断サービスに関して
ご不明な点がございましたら
お気軽にお問い合わせください