こんにちは、穂苅と申します。
前回は、サポート詐欺というサイバー被害について取り上げてきました。誰にでも起こり得る要注意の被害になりますので、興味のある方はぜひご覧ください。
今回は、「Web API」を利用する際の脆弱性についてです。
Web APIとその脆弱性とは?
API(Application Programming Interface)はとても良く使われる技術で、別のソフトウェアやプログラムを結びつけてデータのやり取りを行うことができるインターフェースのことです。これによって、利用者はシステムやインターネットサービスをスムーズに利用することができるようになります。
Web APIもAPIの1種で、Web(http, https)の技術を用いて実現するものを言います。
しかし、インターネット上で公開されているがために、セキュリティ上のリスクもあることは覚えておかなければなりません。例えば、個人情報に関わる処理(ログイン、決済情報など)などは Web APIを通して通信が行われることも多いです。悪質なクラッカーは脆弱性を突いてきますので、不正アクセスから情報漏洩などがされてしまう可能性もありますし、重要なデータを全て削除されてしまう可能性もあります。
Web APIの脆弱性リスクをどのように対策するか?
これらの脆弱性リスクを防ぐためには、いくつかの方法がありますが、APIを利用する側としては、まず本当にAPIを使ってデータのやり取りを行うのがベストなのかを考えるところから始めるのが良さそうです。
そのうえでAPIを利用した実装になる場合は、OAuthなどでAPIのアクセスを管理すること、API経由の全てのデータを暗号化すること(TLS)、通信のログを取り怪しいものがないかをチェックする仕組みを作ることなどを行っていくことが重要となります。
Webセキュリティ知識を詳しく知りたい場合は、徳丸本と徳丸試験がおすすめ
Webセキュリティに関する問題は、今後も多様化し増えていくことが予想されます。セキュリティの問題はサイトやサービス運営側も利用側も必要な知識です。
今回はAPIとその脆弱性について取り上げてきましたが、正しい知識を持って情報技術を扱っていかないと、情報漏洩や脆弱性を作ってしまうというリスクもあります。
Webセキュリティ関連の知識について、詳しくなるためには徳丸本を学ぶとよいです。
徳丸本は、Webセキュリティに関する基本知識が網羅されています。セキュリティは正確に体系立てて理解をしていかないと、システムや会社にとって致命的な問題に繋がります。これらの知識を身に着けたエンジニアとして活躍されていく方にはおすすめです。
そして、学んだあとは理解を確認するために徳丸試験でチェックしてみると理解度が可視化されるため、ぜひチャレンジしてみてください。
【徳丸本】
体系的に学ぶ 安全な Web アプリケーションの作り方 第 2 版 脆弱性が生まれる原理と対策の実践
徳丸浩の Web セキュリティ教室
【徳丸試験】
ウェブ・セキュリティ基礎試験 ( 徳丸基礎試験)
