サイバーセキュリティクラウド(CSC)は2024年1月12日、セキュリティソフトウェア「sasanka」をオープンソースソフトウェア(OSS)としてGitHubで公開した。APIゲートウェイ「Kong」にセキュリティ機能を付与するプラグインである。Web APIへの不正なアクセスへのルールベースでのブロック機能や、不正アクセスの検知ログ出力機能など、Web APIを安全に運用するための機能を提供する。
サイバーセキュリティクラウド(CSC)の「sasanka」は、OSSのAPIゲートウェイ「Kong」にセキュリティ機能を付与するプラグインである。オープンソースソフトウェア(OSS)としてGitHubで公開を開始した。CSCによると、ジャングルの守護神を意味するKongに防火機能を追加する意味で、耐火性の高い山茶花(さざんか)から着想してsasankaと命名したという。
12種類のプラグインにより、Web APIへの不正なアクセスへのルールベースでのブロック機能や、不正アクセスの検知ログ出力機能など、Web APIの運用で必要なセキュリティ機能を提供する。対応する攻撃の例として以下を挙げている。
- インジェクション
- CORS(オリジン間リソース共有)に関する攻撃の検知と防御
- User-Agentによる検知と防御
- libinjectionを用いたSQLインジェクション、XSS(クロスサイトスクリプティング)の検知と防御
- クリックジャッキング
- オープンリダイレクト
- マスアサインメント
インジェクションを防ぐためのルールセットとして「OWASP CoreRuleSet」を用い、ルールを取捨選択してsasankaに設定する。CoreRuleSetを利用して設定を自動化するスクリプトを用意している。
sasankaによって強化可能なセキュリティ機能として以下を挙げている。
- 検知ログ
- 検知時のカスタムレスポンス
- リダイレクトの制限
- リクエストとレスポンスのパラメータの型、値、文字数チェック
- テレメトリの測定、出力
「企業間などのデータ連携を効率的に行うための重要な手段として、Web APIの利用は急速に増加している。一方で、Web APIを標的としたサイバー攻撃も増加しており、Web APIにおけるセキュリティ対策が重要になってきている」(CSC)
サイバーセキュリティクラウド / 脆弱性検査 / Kong / API / APIセキュリティ
-
AI時代の“基幹インフラ”へ──NEC・NOT A HOTEL・DeNAが語るZoomを核にしたコミュニケーション変革とAI活用法
-
加速するZoomの進化、エージェント型AIでコミュニケーションの全領域を変革─「Zoom主催リアルイベント Zoomtopia On the Road Japan」レポート
-
14年ぶりに到来したチャンスをどう活かす?企業価値向上とセキュリティ強化・運用効率化をもたらす自社だけの“ドメイン”とは
-
-
-
-
生成AIからAgentic AIへ―HCLSoftware CRO Rajiv Shesh氏に聞く、企業価値創造の課題に応える「X-D-Oフレームワーク」
-
-
-
「プラグアンドゲイン・アプローチ」がプロセス変革のゲームチェンジャー。業務プロセスの持続的な改善を後押しする「SAP Signavio」
-
BPMとプロセスマイニングで継続的なプロセス改善を行う仕組みを構築、NTTデータ イントラマートがすすめる変革のアプローチ
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
