ニュース

サイバーセキュリティクラウド、WebAPIの脆弱性診断サービスを提供

 株式会社サイバーセキュリティクラウドは18日、Web APIの脆弱性を診断する 「API脆弱性診断サービス」を提供開始したと発表した。

 サイバーセキュリティクラウドでは、APIの重要性が高まる一方で、APIは攻撃者にとって重要な侵入点や不正なデータアクセスの手段として認識され頻繁に狙われるようになっており、Webセキュリティの重要なリスクとなっていると説明。これらのリスクに対処するためには、包括的な対策が必要不可欠で、継続的な監視と改善が求められるとして、こうした課題を解決するために、以前から提供している「脆弱性診断サービス」のラインアップに、新たにAPI脆弱性診断サービスを追加した。

 サービスでは、診断ツールなど最新のスキャン技術を使用して、APIエンドポイントを詳細に調査。定義されていないエンドポイントや文書化されていない機能など、隠れた脆弱性を発見する。常に更新される脅威データベースを用いて、最新のセキュリティリスクに対応する。

 診断ツールによる自動化されたスキャンだけではなく、セキュリティ専門家が手動での診断も実施する。複雑なビジネスロジックやカスタムAPIに対しても、専門家の視点からの評価を提示。実際の攻撃シナリオを想定し、実践的な脅威評価を実施する。

 検出された脆弱性に対しては、具体的な修正策とベストプラクティスを提供する。開発チームへの技術的なガイダンスと教育サポートを行うとともに、APIセキュリティポリシーの策定と実装に関するアドバイスを提供する。

 APIドキュメントに関するサポートも提供。Excel、PDFファイルなどで作成されたAPI仕様書を、OpenAPI(Swagger)形式に合わせて作成する。各種ツールにAPI仕様データのインポートが可能な状態とし、開発効率の向上をサポートする。API仕様書自体が存在しない場合は、診断時のログデータを元にAPI仕様書を作成する。

 サイバーセキュリティクラウドでは、APIの重要性が高まる一方で、APIは攻撃者にとって重要な侵入点や不正なデータアクセスの手段として認識され頻繁に狙われるようになっており、Webセキュリティの重要なリスクとなっていると説明。これらのリスクに対処するためには、APIの設計段階からセキュリティを考慮に入れ、定期的な脆弱性評価と修正、適切な認証と認可メカニズムの実装、データの暗号化、APIエンドポイントのセキュリティ強化など、包括的な対策が必要不可欠で、継続的な監視と改善が求められるとして、こうした課題を解決するために、以前から提供している「脆弱性診断サービス」のラインアップに、新たにAPI脆弱性診断サービスを追加した。