バックナンバー

  • 2024/12/16 (Mon) 10:51
    ★☆★JNSAメールマガジン 第302号 2024.12.13☆★☆
  • 2024/12/13 (Fri) 15:30
    ★☆★JNSAメールマガジン 第302号 2024.12.13☆★☆
  • 2024/11/29 (Fri) 15:30
    ★☆★JNSAメールマガジン 第301号 2024.11.29☆★☆
  • 2024/11/15 (Fri) 15:30
    ★☆★JNSAメールマガジン 第300号 2024.11.15☆★☆
  • 2024/11/01 (Fri) 15:30
    ★☆★JNSAメールマガジン 第299号 2024.11.1☆★☆
  • 2024/10/18 (Fri) 15:30
    ★☆★JNSAメールマガジン 第298号 2024.10.18☆★☆
  • 2024/10/04 (Fri) 15:30
    ★☆★JNSAメールマガジン 第297号 2024.10.4☆★☆
  • 2024/09/20 (Fri) 15:30
    ★☆★JNSAメールマガジン 第296号 2024.9.20☆★☆
  • 2024/09/20 (Fri) 12:00
    ★☆★JNSAメールマガジン 臨時号(第295号) ☆★☆
  • 2024/09/05 (Thu) 16:41
    ★☆★JNSAメールマガジン 第294号 2024.8.23☆★☆
  • 2024/08/09 (Fri) 15:30
    ★☆★JNSAメールマガジン 第293号 2024.8.9☆★☆
  • 2024/07/26 (Fri) 15:30
    ★☆★JNSAメールマガジン 第292号 2024.7.26☆★☆
  • 2024/07/12 (Fri) 15:30
    ★☆★JNSAメールマガジン 第291号 2024.7.12☆★☆
  • 2024/06/28 (Fri) 15:30
    ★☆★JNSAメールマガジン 第290号 2024.6.28☆★☆
  • 2024/06/14 (Fri) 15:30
    ★☆★JNSAメールマガジン 第289号 2024.6.14☆★☆
  • 2024/05/31 (Fri) 15:30
    ★☆★JNSAメールマガジン 第288号 2024.5.31☆★☆
  • 2024/05/17 (Fri) 15:30
    ★☆★JNSAメールマガジン 第287号 2024.5.17☆★☆
  • 2024/05/03 (Fri) 15:30
    ★☆★JNSAメールマガジン 第286号 2024.5.3☆★☆
  • 2024/04/19 (Fri) 15:30
    ★☆★JNSAメールマガジン 第285号 2024.4.19☆★☆
  • 2024/04/05 (Fri) 15:30
    ★☆★JNSAメールマガジン 第284号 2024.4.5☆★☆
  • 2024/03/22 (Fri) 15:30
    ★☆★JNSAメールマガジン 臨時号 2024.3.22☆★☆
  • 2024/03/08 (Fri) 15:30
    ★☆★JNSAメールマガジン 第283号 2024.3.8☆★☆
  • 2024/02/23 (Fri) 15:30
    ★☆★JNSAメールマガジン 第282号 2024.2.23☆★☆
  • 2024/02/09 (Fri) 15:30
    ★☆★JNSAメールマガジン 第281号 2024.2.9☆★☆
  • 2024/01/26 (Fri) 15:30
    ★☆★JNSAメールマガジン 第280号 2024.1.26☆★☆
  • 2024/01/12 (Fri) 15:30
    ★☆★JNSAメールマガジン 第279号 2024.1.12☆★☆
  • 2023/12/26 (Tue) 16:00
    ★☆★JNSAメールマガジン 臨時号 2023.12.26☆★☆
  • 2023/12/22 (Fri) 15:30
    ★☆★JNSAメールマガジン 第278号 2023.12.22☆★☆
  • 2023/12/08 (Fri) 15:30
    ★☆★JNSAメールマガジン 第277号 2023.12.8☆★☆
  • 2023/11/24 (Fri) 15:30
    ★☆★JNSAメールマガジン 第276号 2023.11.24☆★☆
  • 2023/11/10 (Fri) 15:30
    ★☆★JNSAメールマガジン 第275号 2023.11.10☆★☆
  • 2023/10/27 (Fri) 15:30
    ★☆★JNSAメールマガジン 第274号 2023.10.27☆★☆
  • 2023/10/13 (Fri) 15:30
    ★☆★JNSAメールマガジン 第273号 2023.10.13☆★☆
  • 2023/09/29 (Fri) 15:30
    ★☆★JNSAメールマガジン 第272号 2023.9.29☆★☆
  • 2023/09/15 (Fri) 15:30
    ★☆★JNSAメールマガジン 第271号 2023.9.15☆★☆
  • 2023/09/01 (Fri) 15:30
    ★☆★JNSAメールマガジン 第270号 2023.9.1☆★☆
  • 2023/08/18 (Fri) 15:30
    ★☆★JNSAメールマガジン 第269号 2023.8.18☆★☆
  • 2023/08/04 (Fri) 15:30
    ★☆★JNSAメールマガジン 第268号 2023.8.4☆★☆
  • 2023/07/21 (Fri) 15:30
    ★☆★JNSAメールマガジン 第267号 2023.7.21☆★☆
  • 2023/07/07 (Fri) 15:30
    ★☆★JNSAメールマガジン 第266号 2023.7.7☆★☆
  • 2023/06/23 (Fri) 15:30
    ★☆★JNSAメールマガジン 第265号 2023.6.23☆★☆
  • 2023/06/09 (Fri) 15:30
    ★☆★JNSAメールマガジン 第264号 2023.6.9☆★☆
  • 2023/05/26 (Fri) 15:30
    ★☆★JNSAメールマガジン 第263号 2023.5.26☆★☆
  • 2023/05/12 (Fri) 15:30
    ★☆★JNSAメールマガジン 第262号 2023.5.12☆★☆
  • 2023/04/28 (Fri) 15:30
    ★☆★JNSAメールマガジン 第261号 2023.4.28☆★☆
  • 2023/04/14 (Fri) 15:30
    ★☆★JNSAメールマガジン 第260号 2023.4.14☆★☆
  • 2023/03/31 (Fri) 15:30
    ★☆★JNSAメールマガジン 第259号 2023.3.31☆★☆
  • 2023/03/17 (Fri) 15:30
    ★☆★JNSAメールマガジン 第258号 2023.3.17☆★☆
  • 2023/03/03 (Fri) 15:30
    ★☆★JNSAメールマガジン 第257号 2023.3.3☆★☆
  • 2023/02/17 (Fri) 15:30
    ★☆★JNSAメールマガジン 第256号 2023.2.17☆★☆
  • 2023/02/03 (Fri) 16:05
    ★☆★JNSAメールマガジン 第255号 2023.2.3☆★☆
  • 2023/01/20 (Fri) 15:30
    ★☆★JNSAメールマガジン 第254号 2023.1.20☆★☆
  • 2023/01/06 (Fri) 17:30
    ★☆★JNSAメールマガジン 第253号 2023.1.6☆★☆
  • 2022/12/23 (Fri) 15:30
    ★☆★JNSAメールマガジン 臨時号 2022.12.23☆★☆
  • 2022/12/16 (Fri) 15:30
    ★☆★JNSAメールマガジン 第252号 2022.12.16☆★☆
  • 2022/12/02 (Fri) 15:30
    ★☆★JNSAメールマガジン 第251号 2022.12.2☆★☆
  • 2022/11/18 (Fri) 15:30
    ★☆★JNSAメールマガジン 第250号 2022.11.18☆★☆
  • 2022/11/04 (Fri) 15:30
    ★☆★JNSAメールマガジン 第249号 2022.11.4☆★☆
  • 2022/10/23 (Sun) 15:00
    ★☆★JNSAメールマガジン 特別号 2022.10.23 ☆★☆
  • 2022/10/21 (Fri) 15:30
    ★☆★JNSAメールマガジン 第248号 2022.10.21☆★☆
  • 2022/10/07 (Fri) 15:30
    ★☆★JNSAメールマガジン 第247号 2022.10.7☆★☆
  • 2022/09/23 (Fri) 15:30
    ★☆★JNSAメールマガジン 第246号 2022.9.23☆★☆
  • 2022/09/09 (Fri) 15:30
    ★☆★JNSAメールマガジン 第245号 2022.9.9☆★☆
  • 2022/08/26 (Fri) 15:30
    ★☆★JNSAメールマガジン 第244号 2022.8.26☆★☆
  • 2022/08/12 (Fri) 15:30
    ★☆★JNSAメールマガジン 第243号 2022.8.12☆★☆
  • 2022/07/29 (Fri) 15:30
    ★☆★JNSAメールマガジン 第242号 2022.7.29☆★☆
  • 2022/07/15 (Fri) 15:30
    ★☆★JNSAメールマガジン 第241号 2022.7.15☆★☆
  • 2022/07/01 (Fri) 15:30
    ★☆★JNSAメールマガジン 第240号 2022.7.1☆★☆
  • 2022/06/17 (Fri) 15:30
    ★☆★JNSAメールマガジン 第239号 2022.6.17☆★☆
  • 2022/06/03 (Fri) 15:30
    ★☆★JNSAメールマガジン 第238号 2022.6.3☆★☆
  • 2022/05/20 (Fri) 15:30
    ★☆★JNSAメールマガジン 第237号 2022.5.20☆★☆
  • 2022/05/06 (Fri) 15:30
    ★☆★JNSAメールマガジン 第236号 2022.5.6☆★☆
  • 2022/04/22 (Fri) 16:00
    ★☆★JNSAメールマガジン 第235号 2022.4.22☆★☆
  • 2022/04/08 (Fri) 15:30
    ★☆★JNSAメールマガジン 第234号 2022.4.8☆★☆
  • 2022/03/25 (Fri) 15:30
    ★☆★JNSAメールマガジン 第233号 2022.3.25☆★☆
  • 2022/03/11 (Fri) 15:30
    ★☆★JNSAメールマガジン 第232号 2022.3.11☆★☆
  • 2022/02/25 (Fri) 15:30
    ★☆★JNSAメールマガジン 第231号 2022.2.25☆★☆
  • 2022/02/11 (Fri) 10:00
    ★☆★JNSAメールマガジン 第230号 2022.2.11☆★☆
  • 2022/01/28 (Fri) 15:30
    ★☆★JNSAメールマガジン 第229号 2022.1.28☆★☆
  • 2022/01/14 (Fri) 16:00
    ★☆★JNSAメールマガジン 第228号 2022.1.14☆★☆
  • 2021/12/24 (Fri) 16:00
    ★☆★JNSAメールマガジン 臨時号 2021.12.24☆★☆
  • 2021/12/24 (Fri) 12:00
    ★☆★JNSAメールマガジン 第227号 2021.12.24☆★☆
  • 2021/12/10 (Fri) 15:30
    ★☆★JNSAメールマガジン 第226号 2021.12.10☆★☆
  • 2021/11/26 (Fri) 15:30
    ★☆★JNSAメールマガジン 第225号 2021.11.26☆★☆
  • 2021/11/12 (Fri) 15:30
    ★☆★JNSAメールマガジン 第224号 2021.11.12☆★☆
  • 2021/10/29 (Fri) 16:00
    ★☆★JNSAメールマガジン 第223号 2021.10.29☆★☆
  • 2021/10/15 (Fri) 15:30
    ★☆★JNSAメールマガジン 第222号 2021.10.15☆★☆
  • 2021/10/01 (Fri) 15:30
    ★☆★JNSAメールマガジン 第221号 2021.10.1☆★☆
  • 2021/09/17 (Fri) 15:30
    ★☆★JNSAメールマガジン 第220号 2021.9.17☆★☆
  • 2021/09/06 (Mon) 14:45
    ★☆★JNSAメールマガジン 第219号 2021.9.6☆★☆
  • 2021/08/20 (Fri) 16:45
    ★☆★JNSAメールマガジン 第218号 2021.8.20☆★☆
  • 2021/08/06 (Fri) 15:00
    ★☆★JNSAメールマガジン 第217号 2021.8.6☆★☆
  • 2021/07/23 (Fri) 15:30
    ★☆★JNSAメールマガジン 第216号 2021.7.23☆★☆
  • 2021/07/09 (Fri) 15:00
    ★☆★JNSAメールマガジン 第215号 2021.7.9☆★☆
  • 2021/06/25 (Fri) 15:30
    ★☆★JNSAメールマガジン 第214号 2021.6.25☆★☆
  • 2021/06/11 (Fri) 15:30
    ★☆★JNSAメールマガジン 第213号 2021.6.11☆★☆
  • 2021/06/04 (Fri) 15:30
    ★☆★JNSAメールマガジン 臨時号 2021.6.4☆★☆
  • 2021/05/28 (Fri) 15:30
    ★☆★JNSAメールマガジン 第212号 2021.5.28☆★☆
  • 2021/05/21 (Fri) 15:30
    ★☆★JNSAメールマガジン 臨時号 2021.5.21☆★☆
  • 2021/05/14 (Fri) 14:30
    ★☆★JNSAメールマガジン 第211号 2021.5.14☆★☆
  • 2021/04/30 (Fri) 12:30
    ★☆★JNSAメールマガジン 第210号 2021.4.30☆★☆
  • 2021/04/16 (Fri) 13:30
    ★☆★JNSAメールマガジン 第209号 2021.4.16☆★☆
  • 2021/04/02 (Fri) 16:30
    ★☆★JNSAメールマガジン 第208号 2021.4.2☆★☆
  • 2021/03/19 (Fri) 15:30
    ★☆★JNSAメールマガジン 第207号 2021.3.19☆★☆
  • 2021/03/05 (Fri) 15:30
    ★☆★JNSAメールマガジン 第206号 2021.3.5☆★☆
  • 2021/02/19 (Fri) 16:00
    ★☆★JNSAメールマガジン 第205号 2021.2.19☆★☆
  • 2021/02/05 (Fri) 15:00
    ★☆★JNSAメールマガジン 第204号 2021.2.5☆★☆
  • 2021/01/22 (Fri) 16:30
    ★☆★JNSAメールマガジン 第203号 2021.1.22☆★☆
  • 2020/12/25 (Fri) 15:30
    ★☆★JNSAメールマガジン 第202号 2020.12.25☆★☆
  • 2020/12/11 (Fri) 16:30
    ★☆★JNSAメールマガジン 第201号 2020.12.11☆★☆
  • 2020/11/27 (Fri) 16:30
    ★☆★JNSAメールマガジン 第200号 2020.11.27☆★☆
  • 2020/11/13 (Fri) 16:00
    ★☆★JNSAメールマガジン 第199号 2020.11.13☆★☆
  • 2020/10/30 (Fri) 16:00
    ★☆★JNSAメールマガジン 第198号 2020.10.30☆★☆
  • 2020/10/16 (Fri) 15:30
    ★☆★JNSAメールマガジン 第197号 2020.10.16☆★☆
  • 2020/10/02 (Fri) 16:30
    ★☆★JNSAメールマガジン 第196号 2020.10.2☆★☆
  • 2020/09/18 (Fri) 16:00
    ★☆★JNSAメールマガジン 第195号 2020.9.18☆★☆
  • 2020/09/04 (Fri) 15:45
    ★☆★JNSAメールマガジン 第194号 2020.9.4☆★☆
  • 2020/08/21 (Fri) 15:30
    ★☆★JNSAメールマガジン 第193号 2020.8.21☆★☆
  • 2020/08/07 (Fri) 15:30
    ★☆★JNSAメールマガジン 第192号 2020.8.7☆★☆
  • 2020/07/10 (Fri) 15:30
    ★☆★JNSAメールマガジン 第191号 2020.7.10☆★☆
  • 2020/06/30 (Tue) 12:14
    ★☆★JNSAメールマガジン 第190号 2020.6.26☆★☆

★☆★JNSAメールマガジン 第206号 2021.3.5☆★☆

2021/03/05 (Fri) 15:30
★☆★JNSAメールマガジン 第206号 2021.3.5☆★☆

こんにちは
JNSAメールマガジン 第206号 をお届けします。
JNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed

コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。

今回のメールマガジンはServiceNow Japan 合同会社の深谷貴宣様にご寄稿い
ただきました。

【連載リレーコラム】
セキュアなAPIの利用を実現するために

                       ServiceNow Japan 合同会社
                     Office of the CISO 深谷 貴宣

エンタープライズにおいてもクラウドサービスが普及し、APIによる情報連携
はITに必要不可欠なものとなっています。その一方でAPIがセキュアに維持さ
れていなかったために、情報漏えい事故が起きてしまうケースが後を立ちませ
ん。

APIをセキュアに運用するためには、そもそもAPIとは何かを知る必要がありま
す。APIとは、「APIは各種システム/サービスがそのシステム/サービスを利
用するアプリケーションに対して公開するインタフェース」*1と説明されてい
ます。また、昨今のウェブサービスにおいて利用されているAPIは、ウェブAPI
であり、インターフェースとしてHTTPを利用し、JSONまたはXMLで表現されま
す。
実際のサービスをイメージすると分かりやすいので、皆さん馴染みのあるレス
トラン検索サイトをイメージしてください。行きたいレストランのページを表
示すると、Googleマップでレストランの地図情報が表示されますね。これは、
レストラン検索サイトが、GoogleのマップAPIを利用しGoogleマップをレスト
ランのページに表示しています。もう少し具体的に言うと、ユーザーがレスト
ラン検索サイトにアクセスした際に、検索サイトのアプリケーションがAPIリ
クエストをGoogleのAPIゲートウェイ/エンドポイントに送信し、その結果を受
け取り、ユーザーのブラウザに表示させています。この例はコンシューマー
サービスにおけるAPIの利用例ですが、エンタープライズの世界においてはど
うでしょうか?

仮に皆さんがデジタルワークフローでユーザーのDXをサポートするServiceNow
のクラウドサービスを利用していると想定しましょう。ServiceNowユーザーで
ある皆さんはServiceNow上に様々なデータを保存しています。また、皆さんは
ServiceNowが提供するAPIを利用して、ServiceNow上にデータを入力したり、
またはデータを参照したりしています。このような状況においてどのようなセ
キュリティ上の懸念があるでしょうか?
まず、このAPIにアクセスしてくるユーザーが、皆さんのServiceNow 上のデー
タにアクセスして良いユーザーか適切に認証する仕組みが必要そうです。適切
な認証の仕組みとは、アクセス対象のデータの重要度や組織のセキュリティポ
リシーを考慮し、例えば複数回認証に失敗した際にロックアウトする機構を備
えたり、capchaを利用することによるブルートフォース攻撃への対策をするこ
とが考えられます。また、社内のシステムがこのAPIに接続する場合などは、
クライアント証明書を認証の要素として利用することで、APIアクセス元のシ
ステムの真正性を確かめることができるでしょう。このようにAPIの利用シー
ンを想定し、適切な認証機構を備えることが重要です。
また、APIにアクセスしたユーザーが、本来一部のデータにのみアクセスさせ
たいにもかかわらず、全てのデータにアクセスできたらいかがでしょうか?勘
の良い皆さんはもうお気づきだと思いますが、ユーザーのデータアクセスに対
する認可の問題がありそうです。これはAPIにアクセスするユーザーに対して
適切なアクセス制御のルールが設定されていないことに起因します。クラウド
サービスが提供するアクセス制御の仕組みを利用し、適切なアクセス制御の
ルールを設定しましょう。

API利用におけるセキュリティの懸念について、特に認証、認可について取り
上げましたが、これはOWASPが2019年に発表したAPI Security Top 10 2019*2
において、Top1,2で紹介されているセキュリティリスクになります。Top 10な
ので、今回紹介した以外にも8つのセキュリティリスクが紹介されています。
API Security Top 10 2019を参考にし、セキュアなAPIの利用を実現しましょう。

*1引用:ウィキペディア「アプリケーションプログラミングインターフェース」
:https://ja.wikipedia.org/wiki/アプリケーションプログラミングインタフェース

*2OWASP API Security Top 10 2019
: https://github.com/OWASP/API-Security/raw/master/2019/en/dist/owasp-api-security-top-10.pdf


#連載リレーコラム、ここまで

<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。

<ワンクリックアンケートお願い>
今回のメールマガジン第206号の感想をお寄せください。
https://ux.nu/9ljW6
※googleアンケートフォームを利用しています。

【部会・WGからのお知らせ】
★SECCON2020「Re:4-Girls CTF」3月27日(土)に開催します。
 参加登録受付中です。
 https://www.seccon.jp/2020/ctf4girls_1/re4-girls_ctf.html

【事務局からのお知らせ】
★3/18(木)、19(金)13:00~17:30
 NPO日本ネットワークセキュリティ協会 (JNSA)主催シンポジウム
 「Network Security Forum 2021(NSF2021)」開催いたします!
 第1日目テーマ:DX社会における情報セキュリティの役割
 第2日目テーマ:サイバーセキュリティにおける課題と提案
 多くの皆様のご参加をお待ち申し上げております。
 ↓詳細・ご参加登録はこちらからお願いします。
 https://www.jnsa.org/seminar/nsf/2021/index.html

★JNSAソリューションガイドJNSAソリューションガイドでは、会員企業が
 開催するオンラインイベント/セミナー情報をご覧いただけます。
 https://www.jnsa.org/JNSASolutionGuide/IndexAction.do

★無料でご利用いただけます!「情報セキュリティ理解度チェックサービス」
 https://slb.jnsa.org/eslb/
 組織の情報セキュリティ向上のための一助としてご活用下さい。

★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
 https://www.jnsa.org/telework_support/telework_security/index.html

★JNSA事務局を騙った詐欺事件が相変わらず頻発しています。
当協会から弁護士費用を請求したり、金銭受取の念書を発行することは一切
ありませんので、不審な点がありましたら当協会まで直接お問合せ下さい。

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
 office@jnsa.org

☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <http://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第206号
発信日:2021年3月5日
発 行:JNSA事務局 office@jnsa.org
*************************************