サイバーセキュリティ辞典 2026-04-08
APIセキュリティ
WebAPIへの不正アクセス・データ漏洩・DoS攻撃を防ぐためのセキュリティ対策群。OWASP API Security Top 10に基づく認証・認可・レート制限・入力バリデーション等が含まれる。
APIセキュリティとは?
APIセキュリティは、Webサービスが公開するAPI(Application Programming Interface)への不正アクセス・データ漏洩・改ざん・DoS攻撃などを防ぐためのセキュリティ対策の総称です。現代のWebサービスはAPIを通じてデータをやり取りするため、APIは攻撃者の主要な標的となっています。
OWASP API Security Top 10(2023年版)
| 順位 | リスク |
|---|---|
| 1 | 壊れたオブジェクトレベル認可(BOLA) |
| 2 | 認証の不備 |
| 3 | 壊れたオブジェクトプロパティレベル認可 |
| 4 | 無制限のリソース消費 |
| 5 | 壊れた機能レベル認可 |
| 6 | 機密ビジネスフローへの無制限アクセス |
| 7 | サーバーサイドリクエストフォージェリ(SSRF) |
| 8 | セキュリティの設定ミス |
| 9 | 不適切なインベントリ管理 |
| 10 | APIの安全でない使用 |
主なAPIセキュリティ対策
- 認証: JWT・OAuthによる適切な認証実装
- 認可: リソースへのアクセス権限を最小権限で制御
- レート制限: APIキーごとのリクエスト数制限(DDoS緩和)
- 入力バリデーション: SQLインジェクション・コマンドインジェクション防止
- HTTPS強制: 全API通信をTLSで暗号化
- APIキーのローテーション: 定期的なキーの更新
まとめ
APIセキュリティは「公開API = 攻撃者からも見える」という前提で設計することが重要です。OWASP API Security Top 10を定期的に確認し、開発段階からセキュリティを組み込む「Shift Left」の姿勢が求められます。
おすすめの高速レンタルサーバー PR
関連する用語 (サイバーセキュリティ辞典)
全109件を見るセキュリティ用語: Biometrics とは
情報セキュリティの重要キーワード「Biometrics」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。
詳しく読む
セキュリティ用語: MDR とは
情報セキュリティの重要キーワード「MDR」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。
詳しく読む
セキュリティ用語: Bug Bounty とは
情報セキュリティの重要キーワード「Bug Bounty」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。
詳しく読む
セキュリティ用語: GDPR とは
情報セキュリティの重要キーワード「GDPR」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。
詳しく読む
ペネトレーションテスト(侵入テスト)
実際の攻撃者の手法を模倣してシステムへの侵入を試みるセキュリティテスト。脆弱性の深刻度を実証し、対策の優先度判断に活用する。
詳しく読む
セキュリティ用語: Cross-Site Request Forgery (CSRF) とは
情報セキュリティの重要キーワード「Cross-Site Request Forgery (CSRF)」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。
詳しく読む