★☆★JNSAメールマガジン 第206号 2021.3.5☆★☆
2021/03/05 (Fri) 15:30
★☆★JNSAメールマガジン 第206号 2021.3.5☆★☆
こんにちは
JNSAメールマガジン 第206号 をお届けします。
JNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンはServiceNow Japan 合同会社の深谷貴宣様にご寄稿い
ただきました。
【連載リレーコラム】
セキュアなAPIの利用を実現するために
ServiceNow Japan 合同会社
Office of the CISO 深谷 貴宣
エンタープライズにおいてもクラウドサービスが普及し、APIによる情報連携
はITに必要不可欠なものとなっています。その一方でAPIがセキュアに維持さ
れていなかったために、情報漏えい事故が起きてしまうケースが後を立ちませ
ん。
APIをセキュアに運用するためには、そもそもAPIとは何かを知る必要がありま
す。APIとは、「APIは各種システム/サービスがそのシステム/サービスを利
用するアプリケーションに対して公開するインタフェース」*1と説明されてい
ます。また、昨今のウェブサービスにおいて利用されているAPIは、ウェブAPI
であり、インターフェースとしてHTTPを利用し、JSONまたはXMLで表現されま
す。
実際のサービスをイメージすると分かりやすいので、皆さん馴染みのあるレス
トラン検索サイトをイメージしてください。行きたいレストランのページを表
示すると、Googleマップでレストランの地図情報が表示されますね。これは、
レストラン検索サイトが、GoogleのマップAPIを利用しGoogleマップをレスト
ランのページに表示しています。もう少し具体的に言うと、ユーザーがレスト
ラン検索サイトにアクセスした際に、検索サイトのアプリケーションがAPIリ
クエストをGoogleのAPIゲートウェイ/エンドポイントに送信し、その結果を受
け取り、ユーザーのブラウザに表示させています。この例はコンシューマー
サービスにおけるAPIの利用例ですが、エンタープライズの世界においてはど
うでしょうか?
仮に皆さんがデジタルワークフローでユーザーのDXをサポートするServiceNow
のクラウドサービスを利用していると想定しましょう。ServiceNowユーザーで
ある皆さんはServiceNow上に様々なデータを保存しています。また、皆さんは
ServiceNowが提供するAPIを利用して、ServiceNow上にデータを入力したり、
またはデータを参照したりしています。このような状況においてどのようなセ
キュリティ上の懸念があるでしょうか?
まず、このAPIにアクセスしてくるユーザーが、皆さんのServiceNow 上のデー
タにアクセスして良いユーザーか適切に認証する仕組みが必要そうです。適切
な認証の仕組みとは、アクセス対象のデータの重要度や組織のセキュリティポ
リシーを考慮し、例えば複数回認証に失敗した際にロックアウトする機構を備
えたり、capchaを利用することによるブルートフォース攻撃への対策をするこ
とが考えられます。また、社内のシステムがこのAPIに接続する場合などは、
クライアント証明書を認証の要素として利用することで、APIアクセス元のシ
ステムの真正性を確かめることができるでしょう。このようにAPIの利用シー
ンを想定し、適切な認証機構を備えることが重要です。
また、APIにアクセスしたユーザーが、本来一部のデータにのみアクセスさせ
たいにもかかわらず、全てのデータにアクセスできたらいかがでしょうか?勘
の良い皆さんはもうお気づきだと思いますが、ユーザーのデータアクセスに対
する認可の問題がありそうです。これはAPIにアクセスするユーザーに対して
適切なアクセス制御のルールが設定されていないことに起因します。クラウド
サービスが提供するアクセス制御の仕組みを利用し、適切なアクセス制御の
ルールを設定しましょう。
API利用におけるセキュリティの懸念について、特に認証、認可について取り
上げましたが、これはOWASPが2019年に発表したAPI Security Top 10 2019*2
において、Top1,2で紹介されているセキュリティリスクになります。Top 10な
ので、今回紹介した以外にも8つのセキュリティリスクが紹介されています。
API Security Top 10 2019を参考にし、セキュアなAPIの利用を実現しましょう。
*1引用:ウィキペディア「アプリケーションプログラミングインターフェース」
:https://ja.wikipedia.org/wiki/アプリケーションプログラミングインタフェース
*2OWASP API Security Top 10 2019
: https://github.com/OWASP/API-Security/raw/master/2019/en/dist/owasp-api-security-top-10.pdf
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジン第206号の感想をお寄せください。
https://ux.nu/9ljW6
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★SECCON2020「Re:4-Girls CTF」3月27日(土)に開催します。
参加登録受付中です。
https://www.seccon.jp/2020/ctf4girls_1/re4-girls_ctf.html
【事務局からのお知らせ】
★3/18(木)、19(金)13:00~17:30
NPO日本ネットワークセキュリティ協会 (JNSA)主催シンポジウム
「Network Security Forum 2021(NSF2021)」開催いたします!
第1日目テーマ:DX社会における情報セキュリティの役割
第2日目テーマ:サイバーセキュリティにおける課題と提案
多くの皆様のご参加をお待ち申し上げております。
↓詳細・ご参加登録はこちらからお願いします。
https://www.jnsa.org/seminar/nsf/2021/index.html
★JNSAソリューションガイドJNSAソリューションガイドでは、会員企業が
開催するオンラインイベント/セミナー情報をご覧いただけます。
https://www.jnsa.org/JNSASolutionGuide/IndexAction.do
★無料でご利用いただけます!「情報セキュリティ理解度チェックサービス」
https://slb.jnsa.org/eslb/
組織の情報セキュリティ向上のための一助としてご活用下さい。
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
★JNSA事務局を騙った詐欺事件が相変わらず頻発しています。
当協会から弁護士費用を請求したり、金銭受取の念書を発行することは一切
ありませんので、不審な点がありましたら当協会まで直接お問合せ下さい。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
office@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <http://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第206号
発信日:2021年3月5日
発 行:JNSA事務局 office@jnsa.org
*************************************
こんにちは
JNSAメールマガジン 第206号 をお届けします。
JNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンはServiceNow Japan 合同会社の深谷貴宣様にご寄稿い
ただきました。
【連載リレーコラム】
セキュアなAPIの利用を実現するために
ServiceNow Japan 合同会社
Office of the CISO 深谷 貴宣
エンタープライズにおいてもクラウドサービスが普及し、APIによる情報連携
はITに必要不可欠なものとなっています。その一方でAPIがセキュアに維持さ
れていなかったために、情報漏えい事故が起きてしまうケースが後を立ちませ
ん。
APIをセキュアに運用するためには、そもそもAPIとは何かを知る必要がありま
す。APIとは、「APIは各種システム/サービスがそのシステム/サービスを利
用するアプリケーションに対して公開するインタフェース」*1と説明されてい
ます。また、昨今のウェブサービスにおいて利用されているAPIは、ウェブAPI
であり、インターフェースとしてHTTPを利用し、JSONまたはXMLで表現されま
す。
実際のサービスをイメージすると分かりやすいので、皆さん馴染みのあるレス
トラン検索サイトをイメージしてください。行きたいレストランのページを表
示すると、Googleマップでレストランの地図情報が表示されますね。これは、
レストラン検索サイトが、GoogleのマップAPIを利用しGoogleマップをレスト
ランのページに表示しています。もう少し具体的に言うと、ユーザーがレスト
ラン検索サイトにアクセスした際に、検索サイトのアプリケーションがAPIリ
クエストをGoogleのAPIゲートウェイ/エンドポイントに送信し、その結果を受
け取り、ユーザーのブラウザに表示させています。この例はコンシューマー
サービスにおけるAPIの利用例ですが、エンタープライズの世界においてはど
うでしょうか?
仮に皆さんがデジタルワークフローでユーザーのDXをサポートするServiceNow
のクラウドサービスを利用していると想定しましょう。ServiceNowユーザーで
ある皆さんはServiceNow上に様々なデータを保存しています。また、皆さんは
ServiceNowが提供するAPIを利用して、ServiceNow上にデータを入力したり、
またはデータを参照したりしています。このような状況においてどのようなセ
キュリティ上の懸念があるでしょうか?
まず、このAPIにアクセスしてくるユーザーが、皆さんのServiceNow 上のデー
タにアクセスして良いユーザーか適切に認証する仕組みが必要そうです。適切
な認証の仕組みとは、アクセス対象のデータの重要度や組織のセキュリティポ
リシーを考慮し、例えば複数回認証に失敗した際にロックアウトする機構を備
えたり、capchaを利用することによるブルートフォース攻撃への対策をするこ
とが考えられます。また、社内のシステムがこのAPIに接続する場合などは、
クライアント証明書を認証の要素として利用することで、APIアクセス元のシ
ステムの真正性を確かめることができるでしょう。このようにAPIの利用シー
ンを想定し、適切な認証機構を備えることが重要です。
また、APIにアクセスしたユーザーが、本来一部のデータにのみアクセスさせ
たいにもかかわらず、全てのデータにアクセスできたらいかがでしょうか?勘
の良い皆さんはもうお気づきだと思いますが、ユーザーのデータアクセスに対
する認可の問題がありそうです。これはAPIにアクセスするユーザーに対して
適切なアクセス制御のルールが設定されていないことに起因します。クラウド
サービスが提供するアクセス制御の仕組みを利用し、適切なアクセス制御の
ルールを設定しましょう。
API利用におけるセキュリティの懸念について、特に認証、認可について取り
上げましたが、これはOWASPが2019年に発表したAPI Security Top 10 2019*2
において、Top1,2で紹介されているセキュリティリスクになります。Top 10な
ので、今回紹介した以外にも8つのセキュリティリスクが紹介されています。
API Security Top 10 2019を参考にし、セキュアなAPIの利用を実現しましょう。
*1引用:ウィキペディア「アプリケーションプログラミングインターフェース」
:https://ja.wikipedia.org/wiki/アプリケーションプログラミングインタフェース
*2OWASP API Security Top 10 2019
: https://github.com/OWASP/API-Security/raw/master/2019/en/dist/owasp-api-security-top-10.pdf
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジン第206号の感想をお寄せください。
https://ux.nu/9ljW6
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★SECCON2020「Re:4-Girls CTF」3月27日(土)に開催します。
参加登録受付中です。
https://www.seccon.jp/2020/ctf4girls_1/re4-girls_ctf.html
【事務局からのお知らせ】
★3/18(木)、19(金)13:00~17:30
NPO日本ネットワークセキュリティ協会 (JNSA)主催シンポジウム
「Network Security Forum 2021(NSF2021)」開催いたします!
第1日目テーマ:DX社会における情報セキュリティの役割
第2日目テーマ:サイバーセキュリティにおける課題と提案
多くの皆様のご参加をお待ち申し上げております。
↓詳細・ご参加登録はこちらからお願いします。
https://www.jnsa.org/seminar/nsf/2021/index.html
★JNSAソリューションガイドJNSAソリューションガイドでは、会員企業が
開催するオンラインイベント/セミナー情報をご覧いただけます。
https://www.jnsa.org/JNSASolutionGuide/IndexAction.do
★無料でご利用いただけます!「情報セキュリティ理解度チェックサービス」
https://slb.jnsa.org/eslb/
組織の情報セキュリティ向上のための一助としてご活用下さい。
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
★JNSA事務局を騙った詐欺事件が相変わらず頻発しています。
当協会から弁護士費用を請求したり、金銭受取の念書を発行することは一切
ありませんので、不審な点がありましたら当協会まで直接お問合せ下さい。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
office@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <http://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第206号
発信日:2021年3月5日
発 行:JNSA事務局 office@jnsa.org
*************************************