API セキュリティは、Web Application Firewall (WAF) の有料アドオンです。組み込みおよびカスタムの検出ポリシーを使用して、保護されたサービスの API 資産を自動的に検出し、API リスクを検出し、API 攻撃イベントを報告します。このモジュールは、機密データ漏洩に関する越境データレビューとソース追跡もサポートしており、API のデータセキュリティとコンプライアンス要件を満たすのに役立ちます。
API セキュリティシナリオ
不明な API を検出し、資産インベントリを構築する
迅速なビジネスの反復中に、開発者はセキュリティレビューなしで API を公開したり、廃止された API の廃止を怠ったりすることがあります。これにより、API 資産インベントリが不完全になり、セキュリティの死角が生まれる可能性があります。API セキュリティの 資産管理 機能は、サービスアクセスログのオフライン分析を実行します。トラフィック内のすべての API エンドポイントを自動的に検出し、その特性に基づいてビジネス目的を特定します。
API セキュリティリスクの検出と API 攻撃の監視
不適切な API 設計または構成は、セキュリティの脆弱性を生み出し、攻撃者が機密 API への不正アクセスを取得したり、ユーザー ID カード番号、電話番号、銀行カードの詳細などの機密情報をレスポンスで漏洩させたりする可能性があります。API セキュリティの リスクとイベント 機能は、正確なリスク分析と実行可能な提案を提供し、異常なアクセスや攻撃行動を迅速に検出するのに役立ちます。
クロスボーダーデータのリスクを特定し、機密データの漏洩イベントを追跡する
(中国本土のみ) ビジネスで 中国本土以外 のリージョンにデータを提供する必要がある場合、省レベルのサイバースペース管理局を通じて、国のサイバースペース管理局にデータエクスポートのセキュリティ評価を申請する必要があります。API セキュリティの セキュリティコンプライアンスレビューとトレーサビリティ監査 機能は、アウトバウンドデータをレビューおよび追跡します。これにより、API 資産のアウトバウンドデータリスクを迅速に特定し、セキュリティイベントを相互参照できます。
API セキュリティの機能
ビジネス目的の分類
API セキュリティは API のビジネス目的をどのように分類しますか?
API セキュリティは、組み込みのポリシーを使用して、URL とパラメーター名の特性を自動的に照合することにより、API エンドポイントのビジネス目的を分類します。特定のニーズに合わせてカスタム識別ポリシーを構成することもできます。
分類 | タイプ名 |
ユーザー認証 | アカウントパスワードベースのログイン、モバイル確認コードベースのログイン、メール確認コードベースのログイン、WeChat ログイン、Alipay ログイン、OAuth 認証、OIDC 認証、SAML 認証、SSO 認証、ログイン、ログオフ、パスワードリセット |
ユーザー登録 | アカウントパスワードベースの登録、モバイル確認コードベースの登録、メール確認コードベースの登録、WeChat 登録、Alipay 登録、登録サービス |
データ操作 | データベースクエリ、データアップロード、データダウンロード、データ追加、データ変更、データ更新、データ共有、データ削除、データ同期、データ送信、データコピー、データ監査、データ保存、データチェック |
注文管理 | 注文クエリ、注文エクスポート、注文更新、注文支払い |
ログ管理 | ログクエリ、ログレポート、ログエクスポート、ログサービス |
ファイル管理 | ファイルアップロード、ファイルダウンロード、ファイルサービス |
通知 | SMS メッセージ送信、メール送信、情報送信、確認コード検証 |
バックエンド管理 | バックエンド管理、データダッシュボード、監視サービス |
システム制御 | キャンセル、開始、バッチ処理、一時停止、バインド、デバッグ、設定、閉じる、ステータスチェック |
技術サービス | GraphQL、SQL サービス、大規模モデル対話、MCP サービス |
API セキュリティは API のサービスオブジェクトをどのように識別しますか?
サービスオブジェクトタグは、API エンドポイントの呼び出し元のタイプを識別します。タイプは、API の命名特性とアクセスソースのクラスタリングによって決定されます。分類は次のとおりです。
内部オフィス: 内部従業員にサービスを提供する API。
サードパーティ協力: サードパーティのエコシステムパートナーにサービスを提供する API。
公共サービス: インターネット経由でサービスを提供する API。
機密データ検出
API セキュリティはどのような種類の機密データを検出できますか?
機密データとは、識別モデルによって API リクエストとレスポンスで検出される機密情報のタイプを指します。カスタム検出ポリシーを構成することもできます。秘密度レベルは S1 から S4 まで等級付けされており、数字が大きいほど秘密度が高くなります。これらのレベルは、Data Security Center の基準と一致しています。
ID 情報
データの型 | 英語名 | タイプ ID | 感度レベル | カテゴリ |
ID カード番号 (中国本土) | ID Card Number (Chinese Mainland) | 1000 | S3 | 個人情報、個人機密情報 |
フルネーム (簡体字中国語) | フルネーム (簡体字中国語) | 1002 | S2 | 個人情報 |
パスポート番号 (中国本土) | Passport Number (Chinese Mainland) | 1006 | S3 | 個人情報、個人機密情報 |
香港・マカオ住民向け本土旅行許可証 | 香港およびマカオ居住者向け本土旅行許可証 | 1007 | S3 | 個人情報、個人機密情報 |
ナンバープレート番号 (中国本土) | License Plate Number (Chinese Mainland) | 1008 | S3 | 個人情報 |
軍官証 | 軍官証 | 1010 | S3 | 個人情報、個人機密情報 |
性別 | 性別 | 1011 | S1 | 個人情報 |
民族 | 民族 | 1012 | S1 | 個人情報 |
ID カード番号 (中国香港) | ID カード番号 (中国香港) | 1015 | S3 | 個人情報、個人機密情報 |
フルネーム (繁体字中国語) | フルネーム (繁体字中国語) | 1016 | S2 | 個人情報 |
フルネーム (英語) | フルネーム (英語) | 1017 | S2 | 個人情報 |
ID カード番号 (マレーシア) | ID カード番号 (マレーシア) | 1018 | S3 | 個人情報、個人機密情報 |
ID カード番号 (シンガポール) | ID カード番号 (シンガポール) | 1019 | S3 | 個人情報、個人機密情報 |
SSN | SSN | 1023 | S3 | 個人情報、個人機密情報 |
宗教的信条 | 宗教的信条 | 1025 | S2 | 個人情報、個人機密情報 |
インドネシア家族カード (KK) | KARTU KELUARGA(KK) | 4412 | S3 | 個人情報、個人機密情報 |
スマートインドネシアカード (KIP) | Kartu Indonesia Pintar(KIP) | 4418 | S2 | 個人情報 |
連絡先と場所
データの型 | 英語名 | タイプ ID | 感度レベル | カテゴリ |
住所 (中国本土) | Address (Chinese Mainland) | 1003 | S2 | 個人情報 |
携帯電話番号 (中国本土) | Mobile Number (Chinese Mainland) | 1004 | S3 | 個人情報 |
メールアドレス | メールアドレス | 1005 | S2 | 個人情報 |
電話番号 (中国本土) | Phone Number (Chinese Mainland) | 1009 | S2 | 個人情報 |
省 (中国本土) | Province (Chinese Mainland) | 1013 | S1 | / |
市 (中国本土) | City (Chinese Mainland) | 1014 | S1 | / |
電話番号 (米国) | 電話番号 (米国) | 1024 | S2 | 個人情報 |
住所 (英語) | 住所 (英語) | 4410 | S2 | 個人情報 |
財務と支払い
データの型 | 英語名 | タイプ ID | 感度レベル | カテゴリ |
デビットカード | デビットカード | 1001 | S3 | 個人情報、個人機密情報 |
貸付銀行カード | 貸出銀行カード | 1020 | S3 | 個人情報、個人機密情報 |
SWIFT コード | SWIFT コード | 1022 | S1 | / |
ネットワークとデバイスの識別子
データの型 | 英語名 | タイプ ID | 感度レベル | データカテゴリ |
IP アドレス | IP アドレス | 2000 | S2 | 個人情報 |
MAC アドレス | MAC アドレス | 2001 | S2 | 個人情報 |
IPv6 アドレス | IPv6 アドレス | 2007 | S2 | 個人情報 |
IMEI | IMEI | 2010 | S2 | 個人情報 |
MEID | MEID | 2011 | S2 | 個人情報 |
URL | URL | 2015 | S1 | / |
資格情報とキー
データの型 | 英語名 | タイプ ID | 感度レベル | カテゴリ |
JDBC 接続文字列 | JDBC 接続文字列 | 2002 | S3 | 個人情報、個人機密情報 |
PEM 証明書 | PEM 証明書 | 2003 | S3 | 個人情報 |
秘密キー | 秘密キー | 2004 | S3 | 個人情報、個人機密情報 |
AccessKey ID | AccessKey ID | 2005 | S3 | 個人情報、個人機密情報 |
AccessKey Secret | AccessKey シークレット | 2006 | S3 | 個人情報、個人機密情報 |
Linux パスワードファイル | Linux パスワードファイル | 2013 | S3 | / |
Linux シャドウファイル | Linux シャドウファイル | 2014 | S3 | / |
Alibaba Cloud AKSK キーペア | Alibaba Cloud AKSK キーペア | 4399 | S3 | 個人情報、個人機密情報 |
レガシー OpenAI API キー | レガシー OpenAI API キー | 4400 | S3 | 個人情報、個人機密情報 |
OpenAI プロジェクト API キー | OpenAI プロジェクト API キー | 4401 | S3 | 個人情報、個人機密情報 |
Bailian API キー | Bailian API キー | 4402 | S3 | 個人情報、個人機密情報 |
HuggingFace API キー | HuggingFace API キー | 4403 | S3 | 個人情報、個人機密情報 |
Groq API キー | Groq API キー | 4404 | S3 | 個人情報、個人機密情報 |
PAI-EAS トークン | PAI-EAS トークン | 4405 | S3 | 個人情報、個人機密情報 |
企業および一般識別子
データの型 | 英語名 | タイプ ID | 感度レベル | カテゴリ |
日付 | 日付 | 2009 | S1 | / |
営業許可証番号 | 営業許可証番号 | 4000 | S2 | / |
税務登録証明書番号 | 納税者登録証明書番号 | 4001 | S2 | / |
組織コード | 組織コード | 4002 | S2 | / |
統一社会信用コード | 統一社会信用コード | 4003 | S2 | / |
車両識別番号 | 車両識別番号 | 4004 | S2 | / |
API の感度レベルはどのように分類されますか?
API の感度レベルは、高、中、低、なしに分類されます。ルールは次のとおりです。
高: API レスポンスに S3 レベル以上の機密データが含まれているか、単一のレスポンスで 20 件以上の S2 レベルの機密データが返される。
中: API レスポンスに S2 レベルの機密データが含まれています。
低: API レスポンスに S1 レベルの機密データが含まれています。
なし: API レスポンスに機密データが含まれていません。
リスクとイベント
API セキュリティはどのような種類の API リスクを検出できますか?
セキュリティ仕様
安全でない HTTP メソッド
リスクレベル: 低
リスクの説明: この API は安全でない HTTP メソッドを使用しています。攻撃者はこれらのメソッドを使用してサーバー情報を探索したり、サーバーデータを改ざんしたりすることができます。たとえば、PUT を使用して悪意のあるファイルをアップロードしたり、DELETE を使用してサーバーリソースを削除したりします。
提案: ビジネスニーズに基づいて、PUT、DELETE、TRACE、OPTIONS などの安全でない HTTP メソッドを無効にしてください。
弱い JWT 署名アルゴリズム
リスクレベル: 低
リスクの説明: この API は、弱い JSON Web トークン (JWT) 署名アルゴリズムを使用しています。
提案: RS256 などのより安全な署名アルゴリズムを使用します。キーが強力であり、安全に送信および保存されていることを確認します。
URL としてのパラメーター
リスクレベル: 低
リスクの説明: この API のリクエストパラメーターには URL 値が含まれています。これにより、サーバーサイドリクエストフォージェリ (SSRF) のリスクが生じる可能性があります。
提案: ユーザーが制御する URL をパラメーターで直接使用しないように API を再設計してください。パラメーターの内容に対して厳格な検証とフィルタリングを実装してください。
アカウントのセキュリティ
パスワードの平文送信
リスクレベル: 低
リスクの説明: この API はアカウントのパスワードを平文で送信します。攻撃者は、スニッフィングなどの方法で送信中に認証情報を傍受し、アカウントの乗っ取りにつながる可能性があります。
提案: 送信前にパスワードフィールドを暗号化またはハッシュ化して、傍受されるのを防ぎます。
弱いパスワードの許容
リスクレベル: 低
リスクの説明: このログイン API は弱いパスワードを許可しています。攻撃者はこれを利用してアカウントをブルートフォース攻撃する可能性があります。
提案: 強力なパスワードポリシーを適用してください。強力なパスワードは、少なくとも 8 文字の長さで、大文字、小文字、数字、記号の 4 つのカテゴリのうち少なくとも 3 つの文字を含みます。既存の弱いパスワードを持つユーザーには、速やかに変更するよう通知してください。
内部アプリケーションにおける弱いパスワードの脆弱性
リスクレベル: 高
リスクの説明: この内部アプリケーションのログイン API は弱いパスワードを許可しています。攻撃者はこれを利用してアカウントをブルートフォース攻撃する可能性があります。
提案: 強力なパスワードポリシーを適用してください。強力なパスワードは、少なくとも 8 文字の長さで、大文字、小文字、数字、記号の 4 つのカテゴリのうち少なくとも 3 つの文字を含みます。既存の弱いパスワードを持つユーザーには、速やかに変更するよう通知してください。
デフォルトパスワードの存在
リスクレベル: 中間
リスクの説明: このアプリケーションにはデフォルトのパスワードがある可能性があります。攻撃者は、パスワードが変更されていないアカウントを乗っ取るためにデフォルトのパスワードを使用する可能性があります。
提案: デフォルトパスワードを持つアプリケーションでは、最初のログイン時にパスワードの変更を強制してください。デフォルトパスワードを持つ既存のアカウントについては、ユーザーにすぐに変更するよう通知してください。
平文パスワードの返却
リスクレベル: 低
リスクの説明: この API の応答には平文のパスワードが含まれています。攻撃者は送信中にユーザーの資格情報を傍受し、アカウントの乗っ取りにつながる可能性があります。
提案: 応答で平文のパスワードを返さないように API を再設計してください。
Cookie へのパスワード保存
リスクレベル: 低
リスクの説明: この API はアカウントのパスワード情報を Cookie に保存しており、攻撃者によって簡単に盗まれる可能性があります。
提案: 機密性の高い資格情報を Cookie に保存しないように API を再設計してください。
無制限のログイン
リスクレベル: 中間
リスクの説明: このログイン API には CAPTCHA や同様の検証メカニズムがありません。攻撃者はこれを利用して、パスワードに対して無制限のブルートフォース攻撃を実行する可能性があります。
提案: 特に複数回のログイン失敗後には、CAPTCHA などの検証メカニズムを追加して、ブルートフォース攻撃を防ぎます。
不合理なログイン失敗プロンプト
リスクレベル: 低
リスクの説明: この API のログイン失敗プロンプトは、ユーザー名が存在するかどうかを明らかにします。攻撃者はこの情報を使用して、さらなる攻撃のために有効なアカウントを列挙することができます。
提案: ログインに失敗した場合、ユーザー名が有効かどうかを明らかにせず、「ユーザー名またはパスワードが正しくありません」などの一般的なメッセージを返します。
URL ベースのアカウントパスワード送信
リスクレベル: 中間
リスクの説明: この API は URL でアカウントのパスワードを送信します。URL が漏洩した場合、資格情報も漏洩します。URL は、サーバーログ、リファラーヘッダー、ブラウザの履歴によく記録されます。
提案: POST メソッドを使用して、リクエストボディで資格情報データを送信してください。
アクセスの制御
インターネットからアクセス可能な内部アプリケーション
リスクレベル: 低
リスクの説明: この API は内部アプリケーションに属しており、アクセス制限なしでインターネットからアクセスできます。これにより、攻撃者が内部アプリケーションを悪用または攻撃する可能性があります。
提案: IP アドレスホワイトリストなどのアクセス制御ポリシーを追加して、アクセスソースを制限してください。
無制限のアクセスソース
リスクレベル: 低
リスクの説明: この API は、通常のベースライン外のソース (IP アドレスまたはリージョン) からアクセスされています。
提案: アクセス制御ポリシーを追加してください。IP ブラックリストとホワイトリスト、またはロケーションブラックリスト機能を使用して、アクセスソースを制限してください。
無制限のアクセスツール
リスクレベル: 低
リスクの説明: この API へのアクセスに使用されるクライアントタイプが、API のクライアントアクセスベースラインと一致しません。
提案: アクセスツールを制限するためのアクセス制御ポリシーを追加し、攻撃者が悪意のあるスクリプトを使用して API を攻撃したりデータをスクレイピングしたりするのを防ぎます。
無制限のアクセスレート
リスクレベル: 低
リスクの説明: この API は、1 分間に単一の IP アドレスから一定回数アクセスされています。
提案: レート制限ポリシーを追加して、高頻度のアクセスを制御し、乱用を防ぎます。
権限管理
内部アプリケーションへのインターネットアクセス
リスクレベル: 中間
リスクの説明: この API は、十分にランダムではなく、推測可能である可能性のある認証資格情報を使用しています。攻撃者はこれらの資格情報をブルートフォース攻撃して、不正または昇格されたアクセス権を取得する可能性があります。
提案: 認証資格情報のランダム性を高めてください。短くて推測しやすい形式の使用は避けてください。
機密 API への認証なしのアクセス
リスクレベル: 高
リスクの説明: この API は、高感度のデータを含んでいますが、認証なしでアクセスできます。これにより、深刻なデータ漏洩につながる可能性があります。
提案: API の不正使用を防ぐために、厳格で包括的な ID 検証メカニズムを追加してください。
内部 API への不正アクセス
リスクレベル: 高
リスクの説明: この API は内部アプリケーションに属しており、認証なしでアクセスできます。これにより、内部サービスの不正使用や内部データの漏洩につながる可能性があります。
提案: API の不正使用を防ぐために、厳格で包括的な ID 検証メカニズムを追加してください。
URL ベースの資格情報送信
リスクレベル: 中間
リスクの説明: この API は URL で認証資格情報を送信します。URL が漏洩した場合、資格情報が悪用される可能性があります。URL は、サーバーログ、リファラーヘッダー、ブラウザの履歴によく記録されます。
提案: カスタムヘッダー、Cookie、リクエストボディなど、別の方法で認証資格情報を送信してください。
AccessKey 情報の漏洩
リスクレベル: 高
リスクの説明: この API からの応答には AccessKey ID と AccessKey シークレットが含まれており、攻撃者によって悪用される可能性があります。
提案: AccessKey 情報を返さないように API を再設計します。さらに、漏洩した AccessKey を直ちに無効化または削除します。
STS トークンを取得するための不正アクセス
リスクレベル: 中
リスクの説明: この API は認証なしでアクセスでき、そのレスポンスにはセキュリティトークンサービス (STS) トークンが含まれています。攻撃者はこの API を使用して、クラウドリソースを操作する権限を持つ一時的な認証情報を取得できます。これにより、不正なサービス呼び出し、データ盗難、リソースの乱用、悪意のある操作、さらには大規模なデータ流出と高額なコストを伴う完全なアカウント乗っ取りにつながる可能性があります。
提案: この API に対して直ちに厳格な ID 認証とアクセス制御を実装します。信頼できる環境で、承認されたエンティティのみが STS 関連の API を呼び出せるようにします。これにより、不正アクセスと権限昇格を防ぎます。漏洩した STS トークンの権限範囲と使用記録を調査します。認証情報を速やかに失効させ、関連する Resource Access Management (RAM) ロールポリシーのセキュリティを強化します。STS API を公開しないでください。これらの高リスク API をフロントエンドコード、クライアントアプリケーション、またはパブリックリポジトリに埋め込んだり呼び出したりしないでください。
データ保護
応答に含まれる機密データの種類が多すぎる
リスクレベル: 中間
リスクの説明: この API からの応答には、過剰な数の機密データタイプが含まれています。これは不要なデータ公開を示している可能性があり、データ漏洩のリスクを高めます。
提案: 返される各データタイプのビジネス上の必要性を確認してください。重要な機密データをマスキングし、必須でないデータタイプを削除してください。
応答に含まれる機密データが多すぎる
リスクレベル: 中間
リスクの説明: この API からの応答には機密データが含まれており、返されるデータの量を制限していません。これは大規模なデータ漏洩を引き起こすために悪用される可能性があります。
提案: ビジネスニーズに基づいて、単一の応答で返されるデータの量を制限してください。これにより、攻撃者が API を使用して大量の機密データを取得するのを防ぎます。
不十分なデータ匿名化
リスクレベル: 中間
リスクの説明: この API からの応答は、同じデータの匿名化 (マスキング) されたバージョンと匿名化されていない (平文) バージョンの両方を返しており、匿名化の目的を無効にしています。
提案: サンプルデータを確認してこのリスクを確認してください。マスキングされるべきデータが、応答の他の場所で平文で公開されていないことを確認してください。
機密性の高いサーバー情報の漏洩
リスクレベル: 高
リスクの説明: この API からの応答には、機密性の高いサーバー情報が含まれています。攻撃者はこの情報を使用して攻撃を計画し、サーバーの制御を奪う可能性があります。
提案: サンプルデータを確認してリスクを確認してください。内部サーバー情報をクライアントに直接返すことは避けてください。
内部 IP アドレスの漏洩
リスクレベル: 中間
リスクの説明: この API からの応答には内部 IP アドレスが含まれているようで、内部ネットワーク情報が漏洩しています。攻撃者はこの情報を使用して内部アプリケーションを攻撃する可能性があります。
提案: 応答で内部ネットワーク情報が漏洩しないように API を再設計してください。
URL ベースの機密データ送信
リスクレベル: 中間
リスクの説明: この API は URL で高感度のデータを送信します。URL が漏洩した場合、機密データの漏洩が発生する可能性があります。URL は、サーバーログ、リファラーヘッダー、ブラウザの履歴によく記録されます。
提案: POST メソッドを使用し、リクエストボディで機密データを送信してください。
OpenAPI ドキュメントの漏洩
リスクレベル: 中
リスクの説明: この API は、OpenAPI や Swagger ドキュメントなどのインターフェイス定義ドキュメントを公開しています。攻撃者はこのドキュメントを使用して、ビジネス API のパス、パラメーター構造、ビジネスの詳細を取得できます。これにより、バッチプロービング、データ盗難、ビジネスロジック攻撃のための正確なリクエストを作成できます。また、機密 API や潜在的な不正操作を発見し、機密データの漏洩や違法な操作につながる可能性があります。
提案: ビジネスニーズに基づいて、インターフェイス定義ドキュメントへの外部アクセスを厳格に制限します。本番環境では、不正アクセスを防ぐためにオープン API ドキュメントインターフェイスを無効化または暗号化します。公開する必要がある場合は、信頼できるアカウントまたは内部ネットワークへのアクセスを制限します。機密フィールドやビジネスの説明が含まれないように、API ドキュメントの公開ポリシーを定期的に確認します。ID 認証、IP ホワイトリスト、API ゲートウェイを実装してセキュリティ制御を強化し、攻撃者がインターフェイスメタデータを取得するのを防ぎます。
大規模モデル API キーの漏洩
リスクレベル: 高
リスクの説明: この API は認証なしでアクセスでき、そのレスポンスには大規模モデルサービスの API キーが含まれています。攻撃者はこの API を使用して API キーを盗むことができます。これにより、不正なデータアクセス、リアルタイムのクォータ消費、機密情報の盗難、悪意のあるコンテンツの生成、ビジネスデータの流出、アカウントの乱用につながる可能性があります。
提案: API の不正使用または権限昇格を防ぐために、厳格で包括的な ID 検証メカニズムを実装します。API キーの実際の使用状況を直ちに調査し、速やかに交換します。API キーが安全で管理された環境でのみ使用されるようにします。フロントエンドやパブリックリポジトリで公開しないでください。
API 設計
リクエストパラメーターの走査可能性
リスクレベル: 低
リスクの説明: この API のリクエストパラメーターは、固定的で予測可能な形式を持っています。攻撃者はこのパターンに基づいてパラメーター値を反復処理し、データをバッチでアクセスする可能性があります。
提案: パラメーターのランダム性を高めてください。短い数字など、単純で連続的、または推測しやすい値の使用は避けてください。
返されるデータの量の変更可能性
リスクレベル: 低
リスクの説明: この API のリクエストパラメーターは、返されるアイテムの数を制御し、任意の値に設定できます。攻撃者はこのパラメーターを変更して、単一のリクエストで大量のデータを取得する可能性があります。
提案: このパラメーターに制限を追加してください。たとえば、任意の数を許可する代わりに、いくつかの固定オプションのみを提供して、乱用を防ぎます。
データベースクエリ
リスクレベル: 高
リスクの説明: この API のリクエストパラメーターには、データベースクエリ文が含まれています。攻撃者はこの API を使用して任意のデータベース操作を実行し、データベースを攻撃したり、重要なデータを盗んだりする可能性があります。
提案: クライアントから生のデータベースクエリ文を渡さないように API を再設計してください。すべてのパラメーターに対して厳格な検証とフィルタリングを実装してください。
コマンド実行 API
リスクレベル: 高
リスクの説明: この API のリクエストパラメーターには、システムコマンドが含まれています。攻撃者はこの API を使用して任意のシステムコマンドを実行し、サーバーの制御を奪ったり、重要なデータを盗んだりする可能性があります。
提案: クライアントから生のコマンド文を渡さないように API を再設計してください。すべてのパラメーターに対して厳格な検証とフィルタリングを実装してください。
任意の SMS メッセージ送信
リスクレベル: 中間
リスクの説明: この SMS メッセージ送信 API のリクエストパラメーターには、電話番号とメッセージ内容が含まれています。攻撃者はこの API を使用して、任意の電話番号に悪意のあるメッセージを送信する可能性があります。
提案: クライアントから任意の内容を受け入れるのではなく、バックエンドで固定のメッセージテンプレートを使用するように API を再設計してください。
任意のメールコンテンツ送信
リスクレベル: 中間
リスクの説明: このメール送信 API のリクエストパラメーターには、メールアドレスとメールコンテンツが含まれています。攻撃者はこの API を使用して、任意のメールアドレスに悪意のあるメールを送信する可能性があります。
提案: クライアントから任意の内容を受け入れるのではなく、バックエンドで固定のメールテンプレートを使用するように API を再設計してください。
SMS メッセージ確認コードの漏洩
リスクレベル: 高
リスクの説明: この SMS 送信 API の応答には、確認コード自体が含まれているようです。攻撃者はこの API を使用して直接確認コードを取得し、セキュリティチェックをバイパスする可能性があります。
提案: 確認コードをクライアントに返さないでください。検証プロセスはバックエンドで完了する必要があります。
メール確認コードの漏洩
リスクレベル: 高
リスクの説明: このメール送信 API の応答には、確認コード自体が含まれているようです。攻撃者はこの API を使用して直接確認コードを取得し、セキュリティチェックをバイパスする可能性があります。
提案: 確認コードをクライアントに返さないでください。検証プロセスはバックエンドで完了する必要があります。
指定されたファイルのダウンロード
リスクレベル: 中間
リスクの説明: このファイルダウンロード API のリクエストパラメーターには、ファイルパスが含まれています。攻撃者はこのパラメーターを変更して任意のファイルをダウンロードし、重要なデータを盗む可能性があります。
提案: 完全なファイルパスを使用したダウンロードを防ぐように API を再設計してください。パス トラバーサル攻撃を防ぐために、パラメーターの内容を厳密に検証およびフィルタリングしてください。
アプリケーション例外情報の漏洩
リスクレベル: 中間
リスクの説明: この API からの応答には、アプリケーションの例外詳細が含まれています。攻撃者はこの情報を使用して、サーバーアプリケーションの構成やその他の機密詳細を知ることができます。
提案: ビジネス例外処理メカニズムを改善してください。例外が発生した場合は、生の例外詳細を漏洩させるのではなく、一般的なエラーメッセージを返すか、標準のエラーページにリダイレクトしてください。
データベース例外情報の漏洩
リスクレベル: 中間
リスクの説明: この API からのレスポンスには、データベースの例外詳細が含まれています。攻撃者はこの情報を使用して、データベースのクエリ文やテーブル構造を知ることができ、SQL インジェクションなどの攻撃を可能にします。
提案: ビジネス例外処理メカニズムを最適化してください。例外が発生した場合は、生のデータベース例外詳細を漏洩させるのではなく、一般的なエラーメッセージを返すか、標準のエラーページにリダイレクトしてください。
カスタム
カスタムリスク検出ルール
リスクレベル: カスタムレベル
リスクの説明: この API は、構成したカスタムリスク検出ルールに一致しました。
提案: 提案には、ポリシー構成で入力した内容が表示されます。
API セキュリティはどのような種類の異常 IP イベントを検出できますか?
ベースライン例外
異常に高い頻度のアクセス
イベントの説明: アクセス頻度がこの API の日次ベースラインよりも大幅に高く、API の乱用や CC 攻撃などの悪意のある活動を示している可能性があります。
提案: ログの詳細を調査してアクティビティを確認してください。明らかに悪意のある IP アドレスについては、IP ブラックリストを構成してブロックしてください。さらに、API の日次レートベースラインに基づいてレート制限ポリシーを構成してください。
異常な IP アドレスからの内部 API へのアクセス
イベントの説明: ソース IP アドレスが API の日次アクセス IP 分布ベースラインと一致しません。これは異常な呼び出し動作を示している可能性があります。
提案: ログの詳細を調査してアクティビティを確認してください。明らかに悪意のある IP アドレスについては、IP ブラックリストを構成してブロックしてください。また、API の日次 IP 分布ベースラインに基づいて IP ホワイトリストポリシーを構成し、他の IP アドレスからのアクセスをブロックして、API リソースの合理的な使用を確保することもできます。
異常な場所からの内部 API へのアクセス
イベントの説明: IP アドレスのリージョンが API の日次アクセスリージョン分布ベースラインと一致しません。これは異常な呼び出し動作を示している可能性があります。
提案: ログの詳細を調査してアクティビティを確認してください。明らかに悪意のある IP アドレスについては、IP ブラックリストを構成してブロックしてください。また、API の日次リージョン分布ベースラインに基づいてロケーションブラックリストポリシーを構成し、API リソースの合理的な使用を確保することもできます。
異常なツールを使用したアクセス
イベントの説明: アクセスに使用されたツールが API の日次アクセスツール分布ベースラインと一致しません。これは異常な呼び出しを示している可能性があります。
提案: ログの詳細を調査してアクティビティを確認してください。明らかに悪意のある IP アドレスについては、IP ブラックリストを構成してブロックしてください。また、API の日次アクセスツール分布ベースラインに基づいて ACL アクセス制御ポリシーを構成するか、ボット管理モジュールを有効にして、API リソースの合理的な使用を確保することもできます。
異常な時間帯のアクセス
イベントの説明: API が異常な時間帯に呼び出されました。これは異常な呼び出しを示している可能性があります。
提案: ログの詳細を調査してアクティビティを確認してください。明らかに悪意のある IP アドレスについては、IP ブラックリストを構成してブロックしてください。
異常なパラメーター値を使用したアクセス
イベントの説明: リクエストパラメーターの形式がこの API へのリクエストの日次特性と一致しません。これは異常な呼び出しまたは攻撃を示している可能性があります。
提案: サンプルリクエストデータとログの詳細を確認して活動を確認します。明らかに悪意のある IP アドレスについては、IP ブラックリストを構成してブロックします。Web 攻撃が確認された場合は、Web Protection モジュールを使用して API を保護し、API リソースの合理的な使用を確保します。
アカウントリスク
弱いパスワードを使用した内部アプリケーションへのログイン
イベントの説明: IP アドレスが弱いパスワードを使用して内部アプリケーションにログインした疑いがあります。
提案: ログの詳細を確認して、ログインが成功したかどうかを確認してください。アカウントサービスについては、より強力なパスワードポリシーを適用してください。強力なパスワードは通常、大文字、小文字、数字、記号の 4 種類の文字のうち少なくとも 3 種類を含み、長さが 8 文字以上である必要があります。弱いパスワードを持つ既存のアカウントについては、ユーザーにパスワードの変更を通知してください。
ユーザー名に対するブルートフォース攻撃
イベントの説明: IP アドレスが、比較的一定のパスワードを使用しながら、常にユーザー名を変更して複数回のログイン試行を行いました。これはユーザー名のブルートフォース攻撃を示唆しています。
提案: ログの詳細を確認して、いずれかの試行が成功したかどうかを確認してください。定期的にパスワードを変更し、弱いパスワードが使用されていないことを確認してください。ログインサービスについては、確認コードを追加してログイン試行を制限するか、レート制限ポリシーを構成してログイン API の合理的な使用を確保してください。
パスワードに対するブルートフォース攻撃
イベントの説明: IP アドレスが、特定のアカウントに対して多数の異なるパスワードを試しながら複数回のログイン試行を行いました。これはパスワードのブルートフォース攻撃の疑いがあります。
提案: ログの詳細を確認して、いずれかの試行が成功したかどうかを確認してください。定期的にパスワードを変更し、弱いパスワードが使用されていないことを確認してください。ログインサービスについては、確認コードを追加してログイン試行を制限するか、レート制限ポリシーを構成してログイン API の合理的な使用を確保してください。
辞書攻撃
イベントの説明: IP アドレスが、多数の異なるユーザー名とパスワードを使用して複数回のログイン試行を行いました。これは辞書攻撃を示唆しています。
提案: ログの詳細を確認して、いずれかの試行が成功したかどうかを確認してください。定期的にパスワードを変更し、弱いパスワードが使用されていないことを確認してください。ログインサービスについては、確認コードを追加してログイン試行を制限するか、レート制限ポリシーを構成してログイン API の合理的な使用を確保してください。
SMS メッセージ確認コードに対するブルートフォース攻撃
イベントの説明: IP アドレスが、多数の異なるコードを使用して SMS メッセージコードを検証しようと複数回試行しました。これは確認コードに対するブルートフォース攻撃の疑いがあります。
提案: ログの詳細を調査してアクティビティを確認してください。明らかに悪意のある IP アドレスについては、IP ブラックリストを構成してブロックしてください。また、API の日次レート分布ベースラインに基づいてレート制限ポリシーを構成し、API リソースの合理的な使用を確保することもできます。
メール確認コードに対するブルートフォース攻撃
イベントの説明: IP アドレスが、多数の異なるコードを使用してメール確認コードを検証しようと複数回試行しました。これは確認コードに対するブルートフォース攻撃の疑いがあります。
提案: ログの詳細を調査してアクティビティを確認してください。明らかに悪意のある IP アドレスについては、IP ブラックリストを構成してブロックしてください。また、API の日次レート分布ベースラインに基づいてレート制限ポリシーを構成し、API リソースの合理的な使用を確保することもできます。
バッチ登録
イベントの説明: IP アドレスが異常な数の登録リクエストを行っており、バッチ登録アクティビティを示唆しています。これにより、多くのスパムアカウントが作成される可能性があります。
提案: ログの詳細を調査してアクティビティを確認してください。明らかに悪意のある IP アドレスについては、IP ブラックリストを構成してブロックしてください。また、API の日次レート分布ベースラインに基づいてレート制限ポリシーを構成し、API リソースの合理的な使用を確保することもできます。
API の乱用
SMS リソースの悪意のある消費
イベントの説明: IP アドレスが SMS を送信するために複数回のリクエストを行いました。これは SMS リソースの悪意のある消費、またはメッセージフラッディングに API を使用していることを示唆しており、ビジネス上の損失を引き起こす可能性があります。
提案: ログの詳細を調査して活動を確認します。明らかに悪意のある IP アドレスについては、IP ブラックリストを構成してブロックします。また、単一の電話番号へのショートメッセージの送信頻度を制限し、API の日次レート分布ベースラインに基づいてレート制限ポリシーを構成して、API リソースの合理的な使用を確保する必要があります。
メールリソースの悪意のある消費
イベントの説明: IP アドレスがメールを送信するために複数回リクエストを行いました。これは、メールサービスリソースを消費する悪意のある試み、またはメール爆弾攻撃を開始する試みであると疑われます。これにより、メールサービスの安定性に影響が及ぶ可能性があります。
提案: ログの詳細を調査してアクティビティを確認してください。明らかに悪意のある IP アドレスについては、IP ブラックリストを構成してブロックしてください。また、単一のメールボックスへのメール送信頻度を制限し、API の日次レート分布ベースラインに基づいてレート制限ポリシーを構成して、API リソースの合理的な使用を確保する必要があります。
バッチダウンロード
イベントの説明: IP アドレスが異常な数のデータエクスポートまたはダウンロードリクエストを行い、多くのファイルを取得しています。これはデータ漏洩のリスクをもたらす可能性があります。
提案: ログの詳細を調査してアクティビティを確認してください。明らかに悪意のある IP アドレスについては、IP ブラックリストを構成してブロックしてください。また、API の日次レート分布ベースラインに基づいてレート制限ポリシーを構成し、API リソースの合理的な使用を確保することもできます。
データクロール
イベントの説明: IP アドレスが、走査的なパラメーター値で API を複数回呼び出しました。これは API データをクロールしようとする試みであると疑われます。
提案: ログの詳細を調査してアクティビティを確認してください。明らかに悪意のある IP アドレスについては、IP ブラックリストを構成してブロックしてください。ビジネスニーズに基づいてパラメーターのランダム性を高めてください。短い数字など、単純で推測しやすいパラメーター値の使用は避けてください。
API 攻撃
イベントの説明: IP アドレスが API に対して Web 攻撃を開始しました。すべての攻撃は Web 攻撃防止モジュールによってブロックされました。
提案: ログの詳細を使用して IP の動作を分析してください。明らかに悪意のある IP アドレスについては、IP ブラックリストを構成してブロックしてください。
機密データ漏洩イベント
機密データへの不正アクセス
イベントの説明: IP アドレスが API を不正に呼び出し、機密データを取得した疑いがあります。これはデータ漏洩のリスクをもたらす可能性があります。
提案: ログの詳細を調査してアクティビティを確認してください。重要な API については、不正または権限昇格された使用を防ぐために、厳格で完全な ID 認証メカニズムを実装してください。
大量の機密データアクセス
イベントの説明: IP アドレスが API を呼び出し、異常に大量の機密データを取得しました。これはデータ漏洩のリスクをもたらす可能性があります。
提案: ログの詳細を調査してアクティビティを確認してください。可能な限り重要な機密データを匿名化し、応答から不要なデータタイプを削除してください。さらに、API のレート制限ポリシーを構成してください。
国外の IP アドレスによる大量の機密データアクセス
イベントの説明: 国外の IP アドレスが API を呼び出し、複数の機密データを取得しました。これはデータ侵害およびデータコンプライアンスのリスクをもたらす可能性があります。
提案: ログの詳細を調査してアクティビティを確認してください。機密データの国境を越えた送信は、コンプライアンスリスクをもたらす可能性があります。この転送に正当なビジネス上の必要性がある場合は、評価を実施し、必要な申告または届出を完了することをお勧めします。
応答例外
エラーメッセージの返却
イベントの説明: API 呼び出し中に、API が例外エラーメッセージを返しました。これにより、アプリケーションの構成などの重要な情報が漏洩する可能性があります。
提案: ログの詳細を調査して、API が正常に機能しているかどうかを確認します。アプリケーションの例外処理を最適化して、生の例外詳細を返すのではなく、一般的なエラーメッセージを返すか、指定されたページにリダイレクトします。
データベースエラーメッセージの返却
イベントの説明: API 呼び出し中に、API がデータベースエラーメッセージを返しました。これにより、データベースのクエリ文やテーブル名などの重要な情報が漏洩する可能性があります。
提案: ログの詳細を調査して、API が正常に機能しているかどうかを確認します。アプリケーションの例外処理を最適化して、生の例外詳細を返すのではなく、一般的なエラーメッセージを返すか、指定されたページにリダイレクトします。
機密性の高いシステム情報の返却
イベントの説明: API 呼び出し中に、API が重要な機密サーバー情報を返しました。これはデータ漏洩のリスクをもたらします。
提案: ログの詳細を調査して、返されたデータが期待どおりであるかどうかを確認してください。このようなデータをクライアントに直接返すことは避けてください。
異常な応答
イベントの説明: 一連の API 呼び出し中に、応答における異常な HTTP ステータスコードの割合が 80% を超えました。これは、オリジンサーバーに問題がある可能性を示唆しています。
提案: ログの詳細を調査し、オリジンサーバーのログを確認して、API が正常に機能しているかどうかを確認してください。
カスタムイベント
カスタムイベントルール
イベントの説明: この IP アドレスからの API 呼び出しは、構成したカスタムイベント検出ポリシーに一致しました。
提案: 提案には、ポリシー構成で入力した内容が表示されます。
API セキュリティはどのような種類の異常アカウントイベントを検出できますか?
アカウントの異常
異常なツールを使用してアクセスされたアカウント
イベントの説明: API セキュリティイベント検出モデルは、${start_ts} から ${end_ts} の間に、アカウント ${account} が ${attack_client} などの複数の異なるツールを使用して、合計 ${attack_cnt} 回サービスにアクセスしたことを検出しました。これは、バッチ自動攻撃または API スクレイピングを示唆しています。
提案: ログの詳細を調査して確認します。違法なツールが使用された場合は、アカウントのアクセスを速やかに制限します。また、ビジネスリソースの適切な使用を確保するために、API の日次アクセスツール分布ベースラインに基づいてアクセス制御リスト (ACL) ポリシーを構成するか、Bot Management モジュールを有効にします。
データ漏洩
大量の機密データへの異常なアクセス
イベントの説明: API セキュリティイベント検出モデルは、${start_ts} から ${end_ts} の間に、アカウント ${account} が ${data_type} などの ${data_count} 件以上の機密データを取得したことを検出しました。これは機密情報の収集を示唆しており、機密データ漏洩のリスクをもたらします。
提案: ログの詳細を調査して確認します。正当なビジネス上の理由がない場合は、アカウントのアクセスを速やかに制限し、アカウントのデータアクセス割り当てと権限を強化します。また、ビジネスで送信される重要な機密データをマスキングし、不要なデータタイプを削除します。
機密データを取得するための越境アクセス
イベントの説明: API セキュリティイベント検出モデルは、${start_ts} から ${end_ts} の間に、アカウント ${account} が ${location} などの中国本土以外からアクセスを開始し、${data_type} などの ${data_count} 件以上の機密データを取得したことを検出しました。これは悪意のあるスクレイピングまたは外部からの攻撃を示唆しており、機密データの漏洩またはコンプライアンス違反のリスクをもたらします。
提案: ログの詳細を調査して確認します。機密データの越境転送はコンプライアンスリスクをもたらす可能性があります。正当なビジネスニーズがある場合は、状況を評価し、必要な申告または記録を提出します。
多数のファイルの異常なダウンロード
イベントの説明: API セキュリティイベント検出モデルは、${start_ts} から ${end_ts} の間に、アカウント ${account} が ${api_format} などの API を通じて多数のファイルをダウンロードまたはエクスポートしたことを検出しました。これはデータ漏洩のリスクをもたらします。
提案: ログの詳細を調査して確認します。動作が不正である場合は、ダウンロード頻度と合計量を制限します。大規模なファイルダウンロード API に承認または承認メカニズムを追加します。
他のユーザーの機密情報を取得しようとする試み
イベントの説明: API セキュリティイベント検出モデルは、${start_ts} から ${end_ts} の間に、アカウント ${account} が異なる ${param} パラメーター値を使用して、${api_format} などの API を通じて複数の異なるユーザーから ${data_type} などのデータを取得したことを検出しました。これは水平特権昇格攻撃を示唆しており、ユーザーデータ漏洩のリスクをもたらします。
提案: リクエストパラメーター、ターゲットユーザー ID、権限コンテキストを含むログの詳細を調査して確認します。権限昇格が確認された場合は、直ちにアカウントのアクセス権限を制限し、API の権限検証ロジックを強化し、関係するアカウントに対してリスク評価と対策を実施します。
ビジネスデータの走査とスクレイピング
イベントの説明: API セキュリティイベント検出モデルは、${start_ts} から ${end_ts} の間に、アカウント ${account} が ${param} パラメーター値を走査して、${api_format} などの API を通じてデータを取得したことを検出しました。これはビジネスデータのスクレイピングまたはバッチ収集を示唆しています。
提案: ログの詳細を調査して確認します。これが自動スクレイピングである場合は、API の日次頻度ベースライン分布に基づいて動的なレート制限ポリシーを構成します。重要な API にパラメーター署名や CAPTCHA などの走査防止保護を追加します。
異常な操作
API の高頻度呼び出し
イベントの説明: API セキュリティイベント検出モデルは、${start_ts} から ${end_ts} の間に、アカウント ${account} が ${api_format} などの API を頻繁に呼び出したことを検出しました。これは自動攻撃または悪意のある API スクレイピングを示唆しており、ビジネスリスクをもたらします。
提案: ログの詳細を調査して確認します。API リソースの適切な使用を確保するために、API の日次頻度ベースライン分布に基づいて動的なレート制限ポリシーを構成します。
アクセスが複数の異常なエラーレスポンスをトリガーする
イベントの説明: API セキュリティイベント検出モデルは、${start_ts} から ${end_ts} の間に、アカウント ${account} がアクセス中に複数のアプリケーションまたはデータベースの例外エラーをトリガーしたことを検出しました。これは悪意のあるプロービングまたは攻撃を示唆しています。
提案: ログの詳細を調査して確認します。プロービングまたは攻撃が検出された場合は、アカウントのアクセスを制限します。また、ビジネス例外処理メカニズムを最適化します。例外が発生した場合、直接的なエラーメッセージによるアプリケーション情報の漏洩を避けるために、統一されたレスポンスを返すか、指定されたページにリダイレクトします。
異常なアクセスステータスコード
イベントの説明: API セキュリティイベント検出モデルは、${start_ts} から ${end_ts} の間に、アカウント ${account} によるアクセス中に、異常なレスポンスステータスコード (4xx/5xx) の割合が ${except_rate} を超えたことを検出しました。これは悪意のあるプロービングまたは攻撃を示唆しています。
提案: ログの詳細を調査して確認します。プロービングまたは攻撃が検出された場合は、アカウントのアクセスを制限します。また、ビジネスが正常に動作していることを確認します。
API セキュリティは、企業がデータ漏洩のリスクを軽減するのにどのように役立ちますか?
API セキュリティは、API の脆弱性を検出し、異常な API イベントを再構築し、それらを処理するための詳細な提案を提供します。
API の脆弱性: 企業は、内部 API (内部オフィス用、開発テスト用、運用管理用など) をインターネットに公開する可能性があります。これにより、攻撃者は API を通じて機密データを取得できます。
異常な API イベント: これらは、事前に定義されたビジネス要件やアクセスシナリオの範囲外で発生する、通常のベースラインから逸脱した動作です。
クロスボーダーデータ転送
(中国本土のみ) クロスボーダーデータ転送の申告と届出の基準は何ですか?
申告が必要 (以下のいずれかの条件を満たす場合)
前年の 1 月 1 日以降に海外に転送された個人情報の累計人数が 100,000 人を超える。
前年の 1 月 1 日以降に海外に転送された機密性の高い個人情報の累計人数が 10,000 人を超える。
前年の 1 月 1 日以降にデータが海外に転送され、組織によって処理された個人情報の累計人数が 1,000,000 人を超える。
申告不要
前年の 1 月 1 日以降に海外に転送された個人情報の累計人数が 100,000 人未満。
前年の 1 月 1 日以降に海外に転送された機密性の高い個人情報の累計人数が 10,000 人未満。
前年の 1 月 1 日以降にデータが海外に転送され、組織によって処理された個人情報の累計人数が 1,000,000 人未満。
API セキュリティ体制の初期評価
API セキュリティを有効にする前に、[基本検出] 機能を使用して API セキュリティ体制を評価できます。この機能はデフォルトで有効になっており、すべての WAF 3.0 インスタンスで無料で利用でき、WAF ログのオフライン分析を実行し、セキュリティイベントの概要、資産の概要、およびセキュリティイベントのリストを提供します。このページには、API 資産と異常イベントに関する統計、および最新の 10 件の異常 API 呼び出しイベントが一覧表示されます。
基本検出機能は、有料の API セキュリティサービスよりも検出能力が限られています。検出結果には不一致や遅延が生じる場合があります。
基本検出機能は、詳細なデータビューを提供しません。
API セキュリティページに移動します。トップメニューバーから、リソースグループとリージョン (中国本土、中国本土以外) を選択します。
Basic Detection セクションで、基本検出データを表示できます。
セキュリティイベントの概要: API セキュリティイベントの総数、および高リスク、中リスク、低リスクのイベント数が含まれます。
資産の概要: API 資産の総数、アクティブな API、および非アクティブな API が含まれます。
セキュリティイベント: 各セキュリティイベントのイベント名、API パス、ドメイン名、攻撃元、発生時刻を示すカードを表示します。
API セキュリティサービスを有効にする
API セキュリティは、すべての計算と分析をオフラインで実行します。このサービスは、API を積極的にプローブすることはなく、ビジネス運用に影響を与えません。
API セキュリティは、特定の特徴に一致するリクエストとレスポンスを検出することで、データ漏洩のリスクを特定します。API セキュリティを有効にすることにより、WAF がこれらの分析を実行することを承認したことになります。有効にする前に、実際のビジネスシナリオに基づいてサービスを評価する必要があります。
API セキュリティページに移動します。トップメニューバーから、リソースグループとリージョン (中国本土、中国本土以外) を選択します。
API セキュリティを有効にします。
API セキュリティの無料トライアルを開始する
説明Pro、Enterprise、Ultimate エディションでは、API セキュリティの 7 日間の無料トライアルを 1 回提供しています。
トライアル終了後、公式バージョンを購入していない場合、トライアル中に生成された分析データは直ちに消去されます。トライアルデータを保持するには、トライアル終了前に API セキュリティの公式バージョンを購入してください。
API リクエストセキュリティ ページで、Apply for 7-day Free PoC をクリックします。
API セキュリティの公式バージョンを購入する
API リクエストセキュリティ ページで、今すぐ有効化する をクリックします。API セキュリティを有効にすることを選択した後、[今すぐ購入] をクリックして支払いを完了します。
API セキュリティの概要ページを表示する
API リクエストセキュリティ ページの 概要 タブで、API Asset Trend、Risk Trend、Attack Trend、Risky Site Statistics、Statistics on Attacked Sites、Statistics on Request Sensitive Data Types、および Statistics on Response Sensitive Data Types チャートを表示できます。デフォルトの統計期間は 30 日です。
サポートされているクエリおよびフィルター操作
API Asset Trend、Risk Trend、および Attack Trend チャートでは、チャートの凡例にある「API 資産の合計」や「アクティブな API」などの項目をクリックして、チャートに表示されるデータをフィルタリングできます。
Risky Site Statistics、Statistics on Attacked Sites、Statistics on Request Sensitive Data Types、および Statistics on Response Sensitive Data Types の各テーブルでは、表示されるデータを昇順または降順でソートできます。各テーブルの右上隅にある More をクリックして、対応するタブで詳細を表示します。
制限事項
API セキュリティ機能は、FC 経由で追加された保護対象には利用できません。MSE を使用する場合、クラウドネイティブゲートウェイエンジンのバージョンは 2.0.4 以降である必要があります。
Basic Edition サブスクリプションは API セキュリティをサポートしていません。