[新製品・サービス]

APIゲートウェイ「Kong」のセキュリティプラグイン「sasanka」をOSSで公開─サイバーセキュリティクラウド

2024年1月15日(月)IT Leaders編集部

サイバーセキュリティクラウド(CSC)は2024年1月12日、セキュリティソフトウェア「sasanka」をオープンソースソフトウェア(OSS)としてGitHubで公開した。APIゲートウェイ「Kong」にセキュリティ機能を付与するプラグインである。Web APIへの不正なアクセスへのルールベースでのブロック機能や、不正アクセスの検知ログ出力機能など、Web APIを安全に運用するための機能を提供する。

 サイバーセキュリティクラウド(CSC)の「sasanka」は、OSSのAPIゲートウェイ「Kong」にセキュリティ機能を付与するプラグインである。オープンソースソフトウェア(OSS)としてGitHubで公開を開始した。CSCによると、ジャングルの守護神を意味するKongに防火機能を追加する意味で、耐火性の高い山茶花(さざんか)から着想してsasankaと命名したという。

 12種類のプラグインにより、Web APIへの不正なアクセスへのルールベースでのブロック機能や、不正アクセスの検知ログ出力機能など、Web APIの運用で必要なセキュリティ機能を提供する。対応する攻撃の例として以下を挙げている。

  • インジェクション
  • CORS(オリジン間リソース共有)に関する攻撃の検知と防御
  • User-Agentによる検知と防御
  • libinjectionを用いたSQLインジェクション、XSS(クロスサイトスクリプティング)の検知と防御
  • クリックジャッキング
  • オープンリダイレクト
  • マスアサインメント

 インジェクションを防ぐためのルールセットとして「OWASP CoreRuleSet」を用い、ルールを取捨選択してsasankaに設定する。CoreRuleSetを利用して設定を自動化するスクリプトを用意している。

 sasankaによって強化可能なセキュリティ機能として以下を挙げている。

  • 検知ログ
  • 検知時のカスタムレスポンス
  • リダイレクトの制限
  • リクエストとレスポンスのパラメータの型、値、文字数チェック
  • テレメトリの測定、出力

 「企業間などのデータ連携を効率的に行うための重要な手段として、Web APIの利用は急速に増加している。一方で、Web APIを標的としたサイバー攻撃も増加しており、Web APIにおけるセキュリティ対策が重要になってきている」(CSC)

関連キーワード

サイバーセキュリティクラウド / Web API / 脆弱性検査

関連記事

トピックス

[Sponsored]

APIゲートウェイ「Kong」のセキュリティプラグイン「sasanka」をOSSで公開─サイバーセキュリティクラウドサイバーセキュリティクラウド(CSC)は2024年1月12日、セキュリティソフトウェア「sasanka」をオープンソースソフトウェア(OSS)としてGitHubで公開した。APIゲートウェイ「Kong」にセキュリティ機能を付与するプラグインである。Web APIへの不正なアクセスへのルールベースでのブロック機能や、不正アクセスの検知ログ出力機能など、Web APIを安全に運用するための機能を提供する。

PAGE TOP