APIセキュリティチェックリスト： ベストプラクティス、テスト、NISTガイドライン

APIは脆弱性の悪用、自動化された攻撃、サービス妨害、設定ミス、認証や認可の突破などのリスクにさらされています。 重要なビジネスロジックや機密情報を扱うAPIには強固なAPIセキュリティを施し、不正アクセスや操作、情報漏洩からユーザーデータや認証情報、金融取引を守り、APIの信頼性と稼働を確実に保ちます。

このブログでは、APIに対する主なセキュリティ脅威の概要と、マルチクラウド環境でAPIを守るためのアクセス管理、入力検証と出力管理、APIテスト、監視などの重要なセキュリティ戦略とベストプラクティスをチェックリスト形式でご紹介します。 さらに、従うべき主要なAPIセキュリティ標準や、あなたの重要なAPIを守るための推奨ツールも取り上げています。

アクセス制御とは、どのユーザーに特定のリソースへの権限を付与するかを体系的に決定し、実行するプロセスです。 このプロセスは認証と承認の両面を含みます。 認証はユーザーの身元を確認する手続きであり、承認は認証済みユーザーに与えるアクセス権の範囲を決定します。

APIのセキュリティ強化のためのアクセス制御チェックリストの主な提案をご紹介します。

• アクセス管理に基本認証を使わないでください。 基本認証は単純なユーザー名とパスワードから成り、それだけでは攻撃者に簡単に突破されてしまいます。 代わりに、OAuth や JSON Webトークン（JWT）など、より強力なアクセス制御を採用しましょう。
• APIトークンのベストプラクティスを守りましょう。 APIトークンはAPIエンドポイントやサービスへのアクセスを許可するためによく使われますが、管理が不十分だと機密システムに不正アクセスや悪用のリスクを招きます。 トークンの権限範囲を限定し、必ず有効期限を設定して、安全に保管・送信してください。
• 認証と承認の不備を確認しましょう。 ユーザー認証の仕組みやアクセス権限に関する一般的なセキュリティの弱点を特定し、改善してください。 こうした脅威には、攻撃者がパスワード、鍵、セッショントークン、またはユーザーアカウント情報を悪用して正規ユーザーに成りすます認証の破損が含まれます。 オブジェクトのプロパティ単位の承認不備（BOLA）は、アプリケーションがオブジェクトやデータ単位でのアクセス制御を適切に実施しないために発生し、攻撃者が承認チェックを迂回または操作して、特定のオブジェクトやデータに不正にアクセスできてしまいます。 機能単位の承認不備は、APIが機能や操作単位での承認を適切に強制できず、攻撃者が許可されていない機能を使ったり正当な機能を不正操作したりできるリスクを生みます。
• 安全なアイデンティティストア。 APIキーや認証ログ、ユーザー認証情報など、機密性の高いアイデンティティ関連のデータを保存するシステムをしっかり保護しましょう。 保存データの暗号化、アクセス制限、強力なアクセス管理を適用することが重要です。 アイデンティティストアを守ることで、攻撃者による重要な認証情報や権限データへの不正アクセスのリスクを確実に減らせます。
• APIゲートウェイを活用しましょう。 すべてのAPIのアクセス制御を一元管理できます。 これにより、認証、レート制限、承認ルールなどのポリシーを一貫して適用しやすくします。 ゲートウェイを通じて管理することで、設定ミスのリスクを減らし、すべてのAPIで均等な保護を実現します。
• すべての機密データには暗号化を施してください。 暗号化はAPI経由で流れるデータを、不正アクセスから転送中も保存中も守ります。 たとえ攻撃者がネットワーク トラフィックを傍受したり、ストレージへ侵入しても、正しい復号キーがなければデータは読み取れません。 この方法でデータの機密性と整合性を確保し、規制への準拠をサポートします。
• レート制限を実装しましょう。 クライアントが一定期間内に行えるAPIリクエストの回数を制御することで、攻撃者によるAPIへの過剰なトラフィックを防ぎ、DDoS攻撃やクレデンシャル スタッフィング攻撃を繰り返しのログイン試行を遅延またはブロックする形で抑制できます。

APIは動的でしばしば更新や新機能の追加があるため、APIセキュリティテストを初期導入時だけでなく継続して行う必要があります。 また、攻撃者が絶えず新手法を開発するため、脅威の状況も常に進化しています。

APIセキュリティテストのチェックリストにおいて、以下のポイントを重視してください。

• 機能テストを実施してください。 APIのコア機能が意図どおりに動作し、新機能の追加やパッチ適用後も安定性を保っているかをしっかり確認しましょう。
• パフォーマンスを検証します。 APIに負荷をかけて性能の限界を把握し、インシデント後の回復にどれだけ時間がかかるか見極めましょう。
• 脆弱性のスキャンとペネトレーションテストを実施してください。 自動APIスキャナーでソース コードを検証しランタイムエラーを探します。また、定期的にペネトレーションテストを行い、新たかつ巧妙化した攻撃からAPIの脆弱性を特定しましょう。

API モニタリングは脅威をリアルタイムで検知し、異常を見つけるための「正常」状態の基準を築くために不可欠です。 継続的なモニタリングによって、トラフィックの急増や繰り返されるログイン失敗、エンドポイントの異常な使われ方など、攻撃の兆候となる異常パターンを素早く察知できます。

API監視のチェックリストには、次の項目を必ず含めてください。

• API 検出ツールを使用して、新しい API を継続的に監視し、文書化します。 存在を知らないものを保護することはできません。 開発者は正式な承認なしに API を展開またはテストし、追跡されていない、または文書化されていないエンドポイント (「シャドウ API」) を作成する可能性があります。これはセキュリティ チームによって見落とされ、攻撃者の格好の標的になる可能性があります。 継続的な検出により、公開されているすべての API が適切にインベントリされ、評価され、保護され、管理されることが保証されます。
• すべてのAPIを一カ所で管理しましょう。 APIエコシステム全体を一つのまとまったビューで把握することで、可視性を高め、管理を効率化し、インシデント対応をより迅速に行えます。
• APIトラフィックをログに記録し、分析しましょう。 DDoS攻撃の可能性を示す予期しないリクエストの急増を特定し、正当なユーザーには珍しい地理的地域からのリクエストを監視して、不正アクセスの試みを見逃しません。 失敗したリクエストの急増は、クレデンシャル スタッフィングの活動や、誤設定されたクライアントが無効な入力でAPIを繰り返し呼び出している証拠かもしれません。

Open Worldwide Application Security Project（OWASP）と米国国立標準技術研究所（NIST）はどちらも、サイバーセキュリティの最適な実践方法を公開しています。

• OWASPはアプリケーション セキュリティに特化し、Webアプリケーションおよび大規模言語モデルにおける最も一般的なリスク一覧を公開しています。 OWASP Top 10 API セキュリティリスクは、安全なAPI設計とセキュリティテストのための具体的なガイドです。
• NISTはサイバーセキュリティ全般に注力し、NISTサイバーセキュリティ フレームワーク（CSF）を発行しています。 NIST CSFはAPIセキュリティを、識別、保護、検知、対応、復旧、管理の6つの柱に基づく包括的な戦略に的確に連携させるための指針です。

APIファースト設計とAPIの急増によって、包括的なWebアプリケーションおよびAPI保護（WAAP）ソリューションがAPI資産を確実に守る力になります。 WAAPは全体的なセキュリティを実現し、Webアプリケーションファイアウォール（WAF）、API検出と保護サービス、DDoS軽減、ボット管理を単一のソリューションに統合します。

WAAPの主なメリットは次のとおりです。

• 観察性の向上。 ログ、メトリクス、リアルタイム分析を通じてWebアプリケーションやAPIトラフィックを包括的に可視化し、セキュリティチームが異常検知や迅速な問題解決を行い、ユーザー活動や新たな脅威のパターンから実践的な洞察を得られるようにします。
• 一体化された総合的な保護を実現します。 WAAPは、強力なAPI検知と可視化機能とともに、許可・拒否リスト、レート制限、ジオIPフィルターやカスタムルール作成などの具体的な制御を通じてAPIの脅威を効果的に制御・遮断します。 さらにWAAPは、レイヤー7のDoS対策、機密性の高いデータを検出してマスクするデータ損失防止（DLP）、ボット管理、WAFを単一プラットフォームで提供します。 この総合的なアプローチにより、APIを確実に見える化し、堅牢に保護しながら、適切なガバナンスと信頼できるパフォーマンスを実現します。
• 集中されたポリシー管理。 WAAPは、アプリケーションのホスト場所や基盤アーキテクチャに関わらず、すべてのWebアプリケーションとAPIのセキュリティポリシーを単一の管理ポイントで統括します。 この集中管理により、適用の一貫性を確保し、設定ミスを減らし、多様な環境でのセキュリティ運用をシンプルにします。
• ポリシー管理とメンテナンスを効率化します。 WAAP ソリューションは、アプリケーションと API 全体でポリシーの適用や更新を自動化・最適化することで、変化する脅威やアプリケーションの動作に即応したポリシーの適用、調整、適合を容易にします。 これにより、手作業を減らし、最新の攻撃への対応を速め、システム全体で一貫したポリシー適用を実現します。
• 明確な監査証跡。 アクセス状況、ポリシーの変更、セキュリティイベントの詳細なログと監査証跡は、API、インフラストラクチャ、データを含むアプリケーションのあらゆる脅威ベクトルと構成要素において、規制や業界基準への遵守を証明するために不可欠です。

F5はWebアプリケーションおよびAPI保護（WAAP）ソリューションの一環としてAPIセキュリティを提供し、複雑なハイブリッドおよびマルチクラウドのファブリック環境全体でAPIを守りながら、複雑さを抑えて運用効率を高めます。 F5のWAAPソリューションは、APIの構築からテスト、リリース、運用、監視に至るまで、そのライフサイクル全体を包括的に保護します。

F5 の WAAP ソリューションは、ウェブアプリや API を支える重要なビジネスロジックを絶えず防御し、リスクを軽減してデジタルの回復力を高めます。 API を動的に検出し継続的に監視、脅威を見抜くことで、API の可視性を包括的に提供し、重要な制御と実施メカニズムでエンドポイントを守ります。 F5 の WAAP ソリューションは、オンプレミス、クラウド、サービス型など、あらゆる環境に柔軟に導入できます。