Open Worldwide Application Security Project (OWASP) は最近、2019 年以来初めて更新された API セキュリティ トップ 10 ドキュメントのリリース候補 (ドラフト) をリリースしました。このドラフトで提案された変更を確認し、現在 API の脆弱性に影響を与えている主な要因を確認して、API のセキュリティ保護への取り組みをよりよく理解できるようにしましょう。 あらゆるところに潜むセキュリティの脅威に対して、Akamai のセキュリティ ソリューションが「保護シールド」を構築します。 Akamai セキュリティソリューションの詳細 いつでもどこでもあらゆるセキュリティ リスクを把握できます。 OWASP Top 10とは何ですか?OWASP は、コミュニティのフィードバックと専門家の評価に基づいて、今日の組織で見つかる最も一般的なタイプの脆弱性を説明するセキュリティ認識ドキュメントを作成する非政府組織です。 OWASP Top 10 は 2003 年に初めて公開され、定期的に更新されています。 TOP 10 の対象者は、開発者からセキュリティ アナリスト、CISO まで多岐にわたります。ドキュメントのより技術的な側面に重点を置く人もいれば、購入した製品が適切な範囲をカバーしていることを確認するために使用する人もいます。 OWASP API トップ 10OWASP は、Web アプリケーション セキュリティ トップ 10 に加えて、API セキュリティには独自のアプローチが必要であることを強調する別の API トップ 10 ドキュメントを公開しています。 OWASP API セキュリティ プロジェクトは、 「アプリケーション プログラミング インターフェイス (API) 固有の脆弱性とセキュリティ リスクを理解し、軽減するための戦略とソリューションに重点を置いています。」 API トップ 10 は 2019 年以降更新されていません。それ以来、API への依存は業界全体でさらに広まり、開発者の 70% が今年は API の使用が増えると予想しています。 OWASP API セキュリティ トップ 10 リリース候補の最新アップデートが利用可能になりました。今日の API の脆弱性の状況がどのように変化したかを確認してみましょう (図 1)。 図1: 2019年以降のOWASP APIトップ10の変化 最近の変更点のハイライトは何ですか?API3:2023 BOPLA と API1:2023 BOLA の違いは何ですか? 一括割り当てと過剰なデータ開示は、Broken Object Property Level Authorization (BOPLA) に統合されました。 BOLA (Broken Object Level Authorization) と BOPLA の違いは、BOLA がオブジェクト全体を参照するのに対し、BOPLA はオブジェクト内の属性を参照することです (図 2)。 図2: BOPLAはオブジェクト内の属性を参照します 新しい定義では、防御側がオブジェクトをより深く調査する必要があり、攻撃を検出するために必要な複雑さとビジネス ロジックの理解のレベルが高まります。 BOLA の対象であるからといって、BOPLA の対象でもあるわけではありません。また、一括割り当てと過剰なデータ公開を 1 つのカテゴリに統合することで、オブジェクト内の属性に必要な注意が強調されます。 この区別は、API セキュリティ製品を選択する CISO にとって重要です。製品が両方の種類の攻撃に対応していることを確認する必要があるためです。 API6: 2023 サーバー側リクエストフォージェリが追加され、API8: 2019 インジェクションが削除されました OWASP コミュニティは、インジェクションの重大度を下げ、サーバー側リクエスト偽造 (SSRF) を追加しました。これは、マネージド セキュリティ サービス プロバイダーを取り巻く環境の変化と、セキュリティ製品がすぐに脅威に対応できることに対する期待の変化を物語る大胆な動きです。この変更により、別の攻撃ベクトルの詳細も TOP 10 に提供されるようになります。 OWASP コミュニティがこの変更を選択した理由として、次のようなものが挙げられます。
API8:2023 自動化された脅威に対する保護の欠如がトップ10に新たに登場 OWASP は、レート制限防御は時間の経過とともに効果が低下し、実装上の欠陥やその他の脆弱性がない限り、ボットは API を意図したとおりに使用して自動的に企業に損害を与える可能性があると警告しています。詳細については、OWASP Automated Threats to Web Applications を参照してください。これは、API に関する独自の視点を提供するものではなく、一般的なアプローチをとっています。 このサプリメントについて知っておくべきことは次のとおりです。
API10:2023 APIの安全でない使用もTOP10に新たに登場 aaS 製品の急速な発展により、API はさまざまな内部および外部 (サードパーティ) サービスと統合して通信し、データを送受信する必要が生じることがよくあります。このような状況では「基本的な」セキュリティ ルールに従うことも重要であり、この領域ではセキュリティ製品の検出や積極的な防御が複雑になる可能性があります。 OWASP のドキュメントには、次のような一般的な推奨事項と API 固有の推奨事項の両方が含まれています。
最終的な洞察とポイント新しい OWASP API セキュリティ トップ 10 リリース候補は、アプリケーション中心のトップ 10 から逸脱し、API 脅威の固有の性質を強調した、API 固有の方向への重要なステップです。 覚えておくべき重要なポイントは次のとおりです。
APIに関する追加情報Akamai は、State of the Internet (SOTI) レポートの一環として、API の使用状況と API トラフィックを追跡しています。詳細については、以前の SOTI レポートをお読みいただくか、四半期ごとに新しい SOTI レポートをご覧ください。 もっと詳しく知る |
<<: Kingsoft Cloud は、フルスタックのクラウド コンピューティング システムをアップグレードし、人工知能時代のクラウド「ヘルパー」となる
>>: SSHトンネルを使用してクラウドホストサービスのアクセス制限を突破する
1. 公式アカウント設定公開アカウント設定とは、公開アカウントの見た目のことであり、他人が一目見るも...
ストレージに関して言えば、ほとんどの人はスマートフォンやパソコンに情報を保存することに慣れています。...
クラウド コンピューティング機能がデータ センターから、接続されたデバイス、アプライアンス、ネットワ...
最適化を行う際に最も期待するのは、キーワードの順位が急上昇することです。サイトから追い出される以外に...
検索エンジンにおけるウェブサイトのランキングは、多くの要因によって決まります。すべてをまとめることは...
オープンソース分野における世界的なスーパーイベントである OpenStack Open Infras...
[[266704]] 1. メッセージキューの概要メッセージ キュー ミドルウェアは、分散システムの...
店は開業して2年になりますが、まだ利益が出ていません。先週、社長は広州に行き、Liebo Dafen...
過去 1 年間で、長年にわたり実装されてきたテクノロジー ロードマップの実現が加速し、デジタル変革を...
Q: ハミングバードアルゴリズムを使用した後、どのように SEO を実行できるかを紹介していただけま...
障害が発生した場合でも中断することなく運用を継続するために、高可用性 (HA) と災害復旧 (DR)...
国内の商人であるCoffee Hostは2017年8月に設立され、主に海外の高防御VPSなどの製品を...
外部リンクの良し悪しは、一般的に、そのリンクがユーザーによって誠実に推奨されているかどうかによって決...
ソフト記事マーケティングは簡単に理解できます。これは、広告的な性質を持つ記事を作成し、それを潜在顧客...
ftpit の最新の電子メール プロモーション: クリスマス プロモーションが早めに開始、OVZ モ...