ソフトウェア開発の現場では当たり前のように利用されているAPI。
AeyeScanなら大量のパラメータ値入力は不要、カンタンなツール操作でAPIの脆弱性診断を行える「APIスキャン機能」(有償オプション)も提供。APIリクエスト情報をインポートするだけで、自動巡回・スキャンを開始することが可能です。
APIリクエスト情報をインポートすることでスキャンが可能
API診断には「パラメータ値を大量に入力する」「モック画面を作成する」などのノンコア業務が多くあり、時間がかかる脆弱性診断の一つでした。AeyeScanではそうした手間のかかる作業を自動化。OpenAPIファイル・harファイル・curlコマンドなどを登録するだけでAPIを自動的に巡回、スキャンできます。
OWASP API Security Top10 2023に対応
APIはその性質上、アプリケーションのロジックや個人を特定できる情報(PII)などの機密データを公開するため、特性を考慮したうえでセキュリティ対策を講じる必要があります。
APIスキャン機能は、従来のWebアプリケーション診断では網羅できなかった、Web APIの実装と運用に起因する脆弱性を検査することが可能です。OWASP API Security Top 10 2023のうち、外部から検出可能な項目すべてに対応しています(診断対象に過度な負荷をかける可能性がある項目を除く)。
| OWASP API Security Top 10 2023 | AeyeScanでの対応状況 |
|---|---|
| API1:2023 オブジェクトレベルの認可の不備 | ◯ |
| API2:2023 認証の不備 | ◯ |
| API3:2023 オブジェクトプロパティレベルの認可の不備 | ◯ |
| API4:2023制限のないリソース消費 | – |
| API5:2023機能レベルの認可不備 | ◯ |
| API6:2023機密性の高いビジネスフローへの無制限のアクセス | ◯ |
| API7:2023 サーバーサイドリクエストフォージェリ | ◯ |
| API8:2023 セキュリティの設定ミス | – |
| API9:2023 不適切なインベントリ管理 | ◯ |
| API10:2023 APIの安全ではない使用 | – |
