NRIセキュアテクノロジーズ(NRIセキュア)は2019年12月18日、API仕様書やシステム構成図を基に机上で評価する「APIセキュリティ設計レビュー」を発表した。疑似攻撃を通じてセキュリティ上の問題点を洗い出す「APIセキュリティ診断」と併せ、2つのメニュー構成とした。
NRIセキュアは2016年から、APIのセキュリティを診断して対策を支援するサービス「APIセキュリティ診断」を提供してきた。APIの利用例や連携先の外部サービスなど、案件ごとの特性を踏まえ、セキュリティ上の問題点を洗い出したり、有効な対策を推奨したりするサービスである。
今回、疑似攻撃を通じてセキュリティ上の問題点を洗い出すこれまでの「APIセキュリティ診断」のメニューに加えて、API仕様書やシステム構成図を基に机上で評価する「APIセキュリティ設計レビュー」を用意した。既存サービスとあわせて、2つのメニュー構成とした。
APIセキュリティ診断とAPIセキュリティ設計レビューでは、認可・ID連携の標準フレームワークである「OAuth 2.0」と「OpenID Connect」、さらにNRIセキュア独自の観点を加えた診断項目を基に評価する。「REST」「GraphQL」といったAPI特有の仕様を採用している場合や、サーバーレスおよびマイクロサービスなどの実行環境を用いる場合も診断が可能だ。
また、金融システム向けのAPIセキュリティ要件であるFAPI(Financial-grade API)で定められた要件に基づき、診断対象となるAPIのセキュリティプロファイルを評価する、「FAPIセキュリティプロファイル評価オプション」も提供する。
背景について同社は、企業がAPIを利用して、自社のWebサービスの機能を外部に公開したり、他システムと連携させたりすることで、自社サービスの価値向上や提供範囲の拡大を図る動きが増えていることを挙げる。
「一方で、APIは従来のWebアプリケーションとは異なり、画面上の挙動以外にも、背後で動くAPIの要素技術や仕組みを把握したうえで、セキュリティ対策を行うことが求められる。また、APIを外部に公開する場合は、APIの利用を他者に認可するフローに不備があると、気づかないうちにセキュリティ上の問題が発生していることもある」(同社)。