API セキュリティは、Web Application Firewall (WAF) の別途有料モジュールです。組み込みおよびカスタムの検出ポリシーを活用して、保護されたサービスの API 資産を自動的に検出し、API リスクを検出し、API 攻撃イベントを報告します。このモジュールは、機密データの漏洩に対するクロスボーダーデータレビューとソース追跡もサポートしており、API データセキュリティとコンプライアンス要件を満たすのに役立ちます。
ユースケース
不明な API を検出し、資産インベントリを構築する
ビジネスの反復が速いため、開発者はセキュリティレビューなしで API を公開したり、古い API の廃止を怠ったりする可能性があります。これにより、API 資産インベントリが不完全になり、セキュリティの死角が生まれる可能性があります。API セキュリティの 資産管理 機能は、サービスアクセスログのオフライン分析を実行します。トラフィック内のすべての API エンドポイントを自動的に検出し、その特性に基づいてビジネス目的を特定します。
API セキュリティリスクの検出と API 攻撃の監視
不適切な API 設計や構成はセキュリティの脆弱性を生み出し、攻撃者が機密性の高い API への不正アクセスを取得したり、応答でユーザー ID カード番号、電話番号、銀行カードの詳細などの機密情報を漏洩させたりする可能性があります。API セキュリティの リスクとイベント 機能は、正確なリスク分析と実用的な提案を提供し、異常なアクセスや攻撃行動を迅速に検出するのに役立ちます。
クロスボーダーデータのリスクを特定し、機密データの漏洩イベントを追跡する
(中国本土のみ) ビジネスで 中国本土以外 のリージョンにデータを提供する必要がある場合、省レベルのサイバースペース管理局を通じて、国のサイバースペース管理局にデータエクスポートのセキュリティ評価を申請する必要があります。API セキュリティの セキュリティコンプライアンスレビューとトレーサビリティ監査 機能は、アウトバウンドデータをレビューおよび追跡します。これにより、API 資産のアウトバウンドデータリスクを迅速に特定し、セキュリティイベントを相互参照できます。
API セキュリティの機能
ビジネス目的の分類
API セキュリティは API のビジネス目的をどのように分類しますか?
API セキュリティは、組み込みのポリシーを使用して、URL とパラメーター名の特性を自動的に照合することにより、API エンドポイントのビジネス目的を分類します。特定のニーズに合わせてカスタム識別ポリシーを構成することもできます。
目的 | タイプ名 |
ユーザー認証 | アカウントパスワードベースのログイン、モバイル確認コードベースのログイン、メール確認コードベースのログイン、WeChat ログイン、Alipay ログイン、OAuth 認証、OIDC 認証、SAML 認証、SSO 認証、ログイン、ログオフ、パスワードリセット |
ユーザー登録 | アカウントパスワードベースの登録、モバイル確認コードベースの登録、メール確認コードベースの登録、WeChat 登録、Alipay 登録、登録サービス |
データ操作 | データベースクエリ、データアップロード、データダウンロード、データ追加、データ変更、データ更新、データ共有、データ削除、データ同期、データ送信、データコピー、データ監査、データ保存、データチェック |
注文管理 | 注文クエリ、注文エクスポート、注文更新、注文支払い |
ログ管理 | ログクエリ、ログレポート、ログエクスポート、ログサービス |
ファイル管理 | ファイルアップロード、ファイルダウンロード、ファイルサービス |
通知 | SMS メッセージ送信、メール送信、情報送信、確認コード検証 |
バックエンド管理 | バックエンド管理、データダッシュボード、監視サービス |
システム制御 | キャンセル、開始、バッチ処理、一時停止、バインド、デバッグ、設定、閉じる、ステータスチェック |
技術サービス | GraphQL、SQL サービス、大規模モデル対話、MCP サービス |
API セキュリティは API のサービスオブジェクトをどのように識別しますか?
サービスオブジェクトタグは、API エンドポイントの呼び出し元のタイプを識別します。これは、API の命名特性とアクセスソースのクラスタリングによって決定されます。分類は次のとおりです。
内部オフィス: 内部従業員にサービスを提供する API。
サードパーティ協力: サードパーティのエコシステムパートナーにサービスを提供する API。
公共サービス: インターネット経由でサービスを提供する API。
機密データ検出
API セキュリティはどのような種類の機密データを検出できますか?
機密データとは、当社の識別モデルによって API リクエストおよびレスポンスで検出される機密情報の種類を指します。カスタム検出ポリシーを構成することもできます。感度レベルは S1 から S4 まであり、数値が大きいほど感度が高くなります。これらのレベルは、Data Security Center (DSC) の基準と一致しています。
ID 情報
機密データの種類 | タイプ ID | 感度レベル | カテゴリ |
ID カード番号 (中国本土) | 1000 | S3 | 個人情報、個人機密情報 |
フルネーム (簡体字中国語) | 1002 | S2 | 個人情報 |
パスポート番号 (中国本土) | 1006 | S3 | 個人情報、個人機密情報 |
香港およびマカオ居住者向け本土旅行許可証 | 1007 | S3 | 個人情報、個人機密情報 |
ナンバープレート番号 (中国本土) | 1008 | S3 | 個人情報 |
軍官証 | 1010 | S3 | 個人情報、個人機密情報 |
性別 | 1011 | S1 | 個人情報 |
民族 | 1012 | S1 | 個人情報 |
ID カード番号 (中国香港) | 1015 | S3 | 個人情報、個人機密情報 |
フルネーム (繁体字中国語) | 1016 | S2 | 個人情報 |
フルネーム (英語) | 1017 | S2 | 個人情報 |
ID カード番号 (マレーシア) | 1018 | S3 | 個人情報、個人機密情報 |
ID カード番号 (シンガポール) | 1019 | S3 | 個人情報、個人機密情報 |
SSN | 1023 | S3 | 個人情報、個人機密情報 |
宗教的信条 | 1025 | S2 | 個人情報、個人機密情報 |
KARTU KELUARGA(KK) | 4412 | S3 | 個人情報、個人機密情報 |
Kartu Indonesia Pintar(KIP) | 4418 | S2 | 個人情報 |
連絡先と場所
機密データの種類 | タイプ ID | 感度レベル | カテゴリ |
住所 (中国本土) | 1003 | S2 | 個人情報 |
携帯電話番号 (中国本土) | 1004 | S3 | 個人情報 |
メールアドレス | 1005 | S2 | 個人情報 |
電話番号 (中国本土) | 1009 | S2 | 個人情報 |
省 (中国本土) | 1013 | S1 | N/A |
市 (中国本土) | 1014 | S1 | N/A |
電話番号 (米国) | 1024 | S2 | 個人情報 |
住所 (英語) | 4410 | S2 | 個人情報 |
財務と支払い
機密データの種類 | タイプ ID | 感度レベル | カテゴリ |
デビットカード | 1001 | S3 | 個人情報、個人機密情報 |
貸出銀行カード | 1020 | S3 | 個人情報、個人機密情報 |
SWIFT コード | 1022 | S1 | N/A |
ネットワークとデバイスの識別子
機密データの種類 | タイプ ID | 感度レベル | データカテゴリ |
IP アドレス | 2000 | S2 | 個人情報 |
MAC アドレス | 2001 | S2 | 個人情報 |
IPv6 アドレス | 2007 | S2 | 個人情報 |
IMEI | 2010 | S2 | 個人情報 |
MEID | 2011 | S2 | 個人情報 |
URL | 2015 | S1 | N/A |
資格情報とキー
機密データの種類 | タイプ ID | 感度レベル | カテゴリ |
JDBC 接続文字列 | 2002 | S3 | 個人情報、個人機密情報 |
PEM 証明書 | 2003 | S3 | 個人情報 |
秘密キー | 2004 | S3 | 個人情報、個人機密情報 |
AccessKey ID | 2005 | S3 | 個人情報、個人機密情報 |
AccessKey シークレット | 2006 | S3 | 個人情報、個人機密情報 |
Linux パスワードファイル | 2013 | S3 | N/A |
Linux シャドウファイル | 2014 | S3 | N/A |
Alibaba Cloud AKSK キーペア | 4399 | S3 | 個人情報、個人機密情報 |
レガシー OpenAI API キー | 4400 | S3 | 個人情報、個人機密情報 |
OpenAI プロジェクト API キー | 4401 | S3 | 個人情報、個人機密情報 |
Bailian API キー | 4402 | S3 | 個人情報、個人機密情報 |
HuggingFace API キー | 4403 | S3 | 個人情報、個人機密情報 |
Groq API キー | 4404 | S3 | 個人情報、個人機密情報 |
PAI-EAS トークン | 4405 | S3 | 個人情報、個人機密情報 |
企業および一般識別子
機密データの種類 | タイプ ID | 感度レベル | カテゴリ |
日付 | 2009 | S1 | N/A |
営業許可証番号 | 4000 | S2 | N/A |
納税者登録証明書番号 | 4001 | S2 | N/A |
組織コード | 4002 | S2 | N/A |
統一社会信用コード | 4003 | S2 | N/A |
車両識別番号 | 4004 | S2 | N/A |
API の感度レベルはどのように分類されますか?
API の感度レベルは、高、中、低、なしに分類されます。ルールは次のとおりです。
高: API レスポンスに S3 以上のレベルの機密データが含まれているか、単一のレスポンスで 20 個以上の S2 レベルの機密データが返されます。
中: API レスポンスに S2 レベルの機密データが含まれています。
低: API レスポンスに S1 レベルの機密データが含まれています。
なし: API レスポンスに機密データが含まれていません。
リスクとイベント
API セキュリティはどのような種類の API リスクを検出できますか?
セキュリティ仕様
安全でない HTTP メソッド
リスクレベル: 低
リスクの説明: この API は安全でない HTTP メソッドを使用しています。攻撃者はこれらのメソッドを使用して、サーバー情報を探索したり、サーバーデータを改ざんしたりすることができます。たとえば、PUT を使用して悪意のあるファイルをアップロードしたり、DELETE を使用してサーバーリソースを削除したりします。
提案: ビジネスニーズに基づいて、PUT、DELETE、TRACE、OPTIONS などの安全でない HTTP メソッドを無効にしてください。
弱い JWT 署名アルゴリズム
リスクレベル: 低
リスクの説明: この API は、弱い JSON Web トークン (JWT) 署名アルゴリズムを使用しています。
提案: RS256 などのより安全な署名アルゴリズムを使用してください。キーが強力であり、安全に送信および保存されていることを確認してください。
URL としてのパラメーター
リスクレベル: 低
リスクの説明: この API のリクエストパラメーターには URL 値が含まれています。これにより、サーバーサイドリクエストフォージェリ (SSRF) のリスクが生じる可能性があります。
提案: ユーザーが制御する URL をパラメーターで直接使用しないように API を再設計してください。パラメーターの内容に対して厳格な検証とフィルタリングを実装してください。
アカウントのセキュリティ
パスワードの平文送信
リスクレベル: 低
リスクの説明: この API はアカウントのパスワードを平文で送信します。攻撃者は、スニッフィングなどの方法で送信中に資格情報を傍受し、アカウントの乗っ取りにつながる可能性があります。
提案: 送信前にパスワードフィールドを暗号化またはハッシュ化して、傍受されるのを防ぎます。
弱いパスワードの許容
リスクレベル: 低
リスクの説明: このログイン API は弱いパスワードを許可しています。攻撃者はこれを利用してアカウントをブルートフォース攻撃する可能性があります。
提案: 強力なパスワードポリシーを適用してください。強力なパスワードは、少なくとも 8 文字の長さで、大文字、小文字、数字、記号の 4 つのカテゴリのうち少なくとも 3 つの文字を含みます。既存の弱いパスワードを持つユーザーには、速やかに変更するよう通知してください。
内部アプリケーションにおける弱いパスワードの脆弱性
リスクレベル: 高
リスクの説明: この内部アプリケーションのログイン API は弱いパスワードを許可しています。攻撃者はこれを利用してアカウントをブルートフォース攻撃する可能性があります。
提案: 強力なパスワードポリシーを適用してください。強力なパスワードは、少なくとも 8 文字の長さで、大文字、小文字、数字、記号の 4 つのカテゴリのうち少なくとも 3 つの文字を含みます。既存の弱いパスワードを持つユーザーには、速やかに変更するよう通知してください。
デフォルトパスワードの存在
リスクレベル: 中間
リスクの説明: このアプリケーションにはデフォルトのパスワードがある可能性があります。攻撃者は、パスワードが変更されていないアカウントを乗っ取るためにデフォルトのパスワードを使用する可能性があります。
提案: デフォルトパスワードを持つアプリケーションでは、最初のログイン時にパスワードの変更を強制してください。デフォルトパスワードを持つ既存のアカウントについては、ユーザーにすぐに変更するよう通知してください。
平文パスワードの返却
リスクレベル: 低
リスクの説明: この API の応答には平文のパスワードが含まれています。攻撃者は送信中にユーザーの資格情報を傍受し、アカウントの乗っ取りにつながる可能性があります。
提案: 応答で平文のパスワードを返さないように API を再設計してください。
Cookie へのパスワード保存
リスクレベル: 低
リスクの説明: この API はアカウントのパスワード情報を Cookie に保存しており、攻撃者によって簡単に盗まれる可能性があります。
提案: 機密性の高い資格情報を Cookie に保存しないように API を再設計してください。
無制限のログイン
リスクレベル: 中間
リスクの説明: このログイン API には CAPTCHA や同様の検証メカニズムがありません。攻撃者はこれを利用して、パスワードに対して無制限のブルートフォース攻撃を実行する可能性があります。
提案: 特に複数回のログイン失敗後には、CAPTCHA などの検証メカニズムを追加して、ブルートフォース攻撃を防ぎます。
不合理なログイン失敗プロンプト
リスクレベル: 低
リスクの説明: この API のログイン失敗プロンプトは、ユーザー名が存在するかどうかを明らかにします。攻撃者はこの情報を使用して、さらなる攻撃のために有効なアカウントを列挙することができます。
提案: ログインに失敗した場合は、「ユーザー名またはパスワードが正しくありません」などの一般的なメッセージを返し、ユーザー名が有効かどうかを明らかにしないようにしてください。
URL ベースのアカウントパスワード送信
リスクレベル: 中間
リスクの説明: この API は URL でアカウントのパスワードを送信します。URL が漏洩した場合、資格情報も漏洩します。URL は、サーバーログ、リファラーヘッダー、ブラウザの履歴によく記録されます。
提案: POST メソッドを使用して、リクエストボディで資格情報データを送信してください。
アクセスの制御
インターネットからアクセス可能な内部アプリケーション
リスクレベル: 低
リスクの説明: この API は内部アプリケーションに属しており、アクセス制限なしでインターネットからアクセスできます。これにより、攻撃者が内部アプリケーションを悪用または攻撃する可能性があります。
提案: IP アドレスホワイトリストなどのアクセス制御ポリシーを追加して、アクセスソースを制限してください。
無制限のアクセスソース
リスクレベル: 低
リスクの説明: この API は、通常のベースライン外のソース (IP アドレスまたはリージョン) からアクセスされています。
提案: アクセス制御ポリシーを追加してください。IP ブラックリストとホワイトリスト、またはロケーションブラックリスト機能を使用して、アクセスソースを制限してください。
無制限のアクセスツール
リスクレベル: 低
リスクの説明: この API へのアクセスに使用されるクライアントタイプが、API のクライアントアクセスベースラインと一致しません。
提案: アクセスツールを制限するためのアクセス制御ポリシーを追加し、攻撃者が悪意のあるスクリプトを使用して API を攻撃したりデータをスクレイピングしたりするのを防ぎます。
無制限のアクセスレート
リスクレベル: 低
リスクの説明: この API は、1 分間に単一の IP アドレスから一定回数アクセスされています。
提案: レート制限ポリシーを追加して、高頻度のアクセスを制御し、乱用を防ぎます。
権限管理
ランダム性が不十分な資格情報
リスクレベル: 中間
リスクの説明: この API は、ランダム性が不十分で推測可能な認証資格情報を使用しています。攻撃者はこれらの資格情報をブルートフォース攻撃して、不正アクセスや権限昇格を得る可能性があります。
提案: 認証資格情報のランダム性を高めてください。短くて推測しやすい形式の使用は避けてください。
機密 API への認証なしのアクセス
リスクレベル: 高
リスクの説明: この API は、高感度のデータを含んでいますが、認証なしでアクセスできます。これにより、深刻なデータ漏洩につながる可能性があります。
提案: API の不正使用を防ぐために、厳格で包括的な ID 検証メカニズムを追加してください。
内部 API への不正アクセス
リスクレベル: 高
リスクの説明: この API は内部アプリケーションに属しており、認証なしでアクセスできます。これにより、内部サービスの不正使用や内部データの漏洩につながる可能性があります。
提案: API の不正使用を防ぐために、厳格で包括的な ID 検証メカニズムを追加してください。
URL ベースの資格情報送信
リスクレベル: 中間
リスクの説明: この API は URL で認証資格情報を送信します。URL が漏洩した場合、資格情報が悪用される可能性があります。URL は、サーバーログ、リファラーヘッダー、ブラウザの履歴によく記録されます。
提案: カスタムヘッダー、Cookie、リクエストボディなど、別の方法で認証資格情報を送信してください。
AccessKey ペア情報の漏洩
リスクレベル: 高
リスクの説明: この API からの応答には AccessKey ID と AccessKey シークレットが含まれており、攻撃者によって悪用される可能性があります。
提案: AccessKey ペア情報を返さないように API を再設計してください。さらに、漏洩した AccessKey ペアを直ちに無効化または削除してください。
データ保護
応答に含まれる機密データの種類が多すぎる
リスクレベル: 中間
リスクの説明: この API からの応答には、過剰な数の機密データタイプが含まれています。これは不要なデータ公開を示している可能性があり、データ漏洩のリスクを高めます。
提案: 返される各データタイプのビジネス上の必要性を確認してください。重要な機密データをマスキングし、必須でないデータタイプを削除してください。
応答に含まれる機密データが多すぎる
リスクレベル: 中間
リスクの説明: この API からの応答には機密データが含まれており、返されるデータの量を制限していません。これは大規模なデータ漏洩を引き起こすために悪用される可能性があります。
提案: ビジネスニーズに基づいて、単一の応答で返されるデータの量を制限してください。これにより、攻撃者が API を使用して大量の機密データを取得するのを防ぎます。
不十分なデータ匿名化
リスクレベル: 中間
リスクの説明: この API からの応答は、同じデータの匿名化 (マスキング) されたバージョンと匿名化されていない (平文) バージョンの両方を返しており、匿名化の目的を無効にしています。
提案: サンプルデータを確認してこのリスクを確認してください。マスキングされるべきデータが、応答の他の場所で平文で公開されていないことを確認してください。
機密性の高いサーバー情報の漏洩
リスクレベル: 高
リスクの説明: この API からの応答には、機密性の高いサーバー情報が含まれています。攻撃者はこの情報を使用して攻撃を計画し、サーバーの制御を奪う可能性があります。
提案: サンプルデータを確認してリスクを確認してください。内部サーバー情報をクライアントに直接返すことは避けてください。
内部 IP アドレスの漏洩
リスクレベル: 中間
リスクの説明: この API からの応答には内部 IP アドレスが含まれているようで、内部ネットワーク情報が漏洩しています。攻撃者はこの情報を使用して内部アプリケーションを攻撃する可能性があります。
提案: 応答で内部ネットワーク情報が漏洩しないように API を再設計してください。
URL ベースの機密データ送信
リスクレベル: 中間
リスクの説明: この API は URL で高感度のデータを送信します。URL が漏洩した場合、機密データの漏洩が発生する可能性があります。URL は、サーバーログ、リファラーヘッダー、ブラウザの履歴によく記録されます。
提案: POST メソッドを使用し、リクエストボディで機密データを送信してください。
API 設計
リクエストパラメーターの走査可能性
リスクレベル: 低
リスクの説明: この API のリクエストパラメーターは、固定的で予測可能な形式を持っています。攻撃者はこのパターンに基づいてパラメーター値を反復処理し、データをバッチでアクセスする可能性があります。
提案: パラメーターのランダム性を高めてください。短い数字など、単純で連続的、または推測しやすい値の使用は避けてください。
返されるデータの量の変更可能性
リスクレベル: 低
リスクの説明: この API のリクエストパラメーターは、返されるアイテムの数を制御し、任意の値に設定できます。攻撃者はこのパラメーターを変更して、単一のリクエストで大量のデータを取得する可能性があります。
提案: このパラメーターに制限を追加してください。たとえば、任意の数を許可する代わりに、いくつかの固定オプションのみを提供して、乱用を防ぎます。
データベースクエリ
リスクレベル: 高
リスクの説明: この API のリクエストパラメーターには、データベースクエリ文が含まれています。攻撃者はこの API を使用して任意のデータベース操作を実行し、データベースを攻撃したり、重要なデータを盗んだりする可能性があります。
提案: クライアントから生のデータベースクエリ文を渡さないように API を再設計してください。すべてのパラメーターに対して厳格な検証とフィルタリングを実装してください。
コマンド実行 API
リスクレベル: 高
リスクの説明: この API のリクエストパラメーターには、システムコマンドが含まれています。攻撃者はこの API を使用して任意のシステムコマンドを実行し、サーバーの制御を奪ったり、重要なデータを盗んだりする可能性があります。
提案: クライアントから生のコマンド文を渡さないように API を再設計してください。すべてのパラメーターに対して厳格な検証とフィルタリングを実装してください。
任意の SMS メッセージ送信
リスクレベル: 中間
リスクの説明: この SMS メッセージ送信 API のリクエストパラメーターには、電話番号とメッセージ内容が含まれています。攻撃者はこの API を使用して、任意の電話番号に悪意のあるメッセージを送信する可能性があります。
提案: クライアントから任意の内容を受け入れるのではなく、バックエンドで固定のメッセージテンプレートを使用するように API を再設計してください。
任意のメールコンテンツ送信
リスクレベル: 中間
リスクの説明: このメール送信 API のリクエストパラメーターには、メールアドレスとメールコンテンツが含まれています。攻撃者はこの API を使用して、任意のメールアドレスに悪意のあるメールを送信する可能性があります。
提案: クライアントから任意の内容を受け入れるのではなく、バックエンドで固定のメールテンプレートを使用するように API を再設計してください。
SMS メッセージ確認コードの漏洩
リスクレベル: 高
リスクの説明: この SMS 送信 API の応答には、確認コード自体が含まれているようです。攻撃者はこの API を使用して直接確認コードを取得し、セキュリティチェックをバイパスする可能性があります。
提案: 確認コードをクライアントに返さないでください。検証プロセスはバックエンドで完了する必要があります。
メール確認コードの漏洩
リスクレベル: 高
リスクの説明: このメール送信 API の応答には、確認コード自体が含まれているようです。攻撃者はこの API を使用して直接確認コードを取得し、セキュリティチェックをバイパスする可能性があります。
提案: 確認コードをクライアントに返さないでください。検証プロセスはバックエンドで完了する必要があります。
指定されたファイルのダウンロード
リスクレベル: 中間
リスクの説明: このファイルダウンロード API のリクエストパラメーターには、ファイルパスが含まれています。攻撃者はこのパラメーターを変更して任意のファイルをダウンロードし、重要なデータを盗む可能性があります。
提案: 完全なファイルパスを使用したダウンロードを防ぐように API を再設計してください。パス トラバーサル攻撃を防ぐために、パラメーターの内容を厳密に検証およびフィルタリングしてください。
アプリケーション例外情報の漏洩
リスクレベル: 中間
リスクの説明: この API からの応答には、アプリケーションの例外詳細が含まれています。攻撃者はこの情報を使用して、サーバーアプリケーションの構成やその他の機密詳細を知ることができます。
提案: ビジネス例外処理メカニズムを改善してください。例外が発生した場合は、生の例外詳細を漏洩させるのではなく、一般的なエラーメッセージを返すか、標準のエラーページにリダイレクトしてください。
データベース例外情報の漏洩
リスクレベル: 中間
リスクの説明: この API からの応答には、データベースの例外詳細が含まれています。攻撃者はこの情報を使用して、データベースのクエリ文やテーブル構造を知り、SQL インジェクションなどの攻撃を可能にすることができます。
提案: ビジネス例外処理メカニズムを最適化してください。例外が発生した場合は、生のデータベース例外詳細を漏洩させるのではなく、一般的なエラーメッセージを返すか、標準のエラーページにリダイレクトしてください。
カスタム
カスタムリスク検出ルール
リスクレベル: カスタムレベル
リスクの説明: この API は、構成したカスタムリスク検出ルールに一致しました。
提案: ポリシー構成で入力した内容を表示します。
API セキュリティはどのような種類の異常なアクティビティを検出できますか?
ベースライン例外
異常に高い頻度のアクセス
イベントの説明: アクセス頻度がこの API の日次ベースラインを大幅に上回っており、API の乱用や HTTP フラッド攻撃などの悪意のあるアクティビティを示している可能性があります。
提案: ログの詳細を調査してアクティビティを確認してください。明らかに悪意のある IP アドレスについては、IP ブラックリストを構成してブロックしてください。さらに、API の日次レートベースラインに基づいてレート制限ポリシーを構成してください。
異常な IP アドレスからの内部 API へのアクセス
イベントの説明: ソース IP アドレスが API の日次アクセス IP 分布ベースラインと一致しません。これは異常な呼び出し動作を示している可能性があります。
提案: ログの詳細を調査してアクティビティを確認してください。明らかに悪意のある IP アドレスについては、IP ブラックリストを構成してブロックしてください。また、API の日次 IP 分布ベースラインに基づいて IP ホワイトリストポリシーを構成し、他の IP アドレスからのアクセスをブロックして、API リソースの合理的な使用を確保することもできます。
異常な場所からの内部 API へのアクセス
イベントの説明: IP アドレスのリージョンが API の日次アクセスリージョン分布ベースラインと一致しません。これは異常な呼び出し動作を示している可能性があります。
提案: ログの詳細を調査してアクティビティを確認してください。明らかに悪意のある IP アドレスについては、IP ブラックリストを構成してブロックしてください。また、API の日次リージョン分布ベースラインに基づいてロケーションブラックリストポリシーを構成し、API リソースの合理的な使用を確保することもできます。
異常なツールを使用したアクセス
イベントの説明: アクセスに使用されたツールが API の日次アクセスツール分布ベースラインと一致しません。これは異常な呼び出しを示している可能性があります。
提案: ログの詳細を調査してアクティビティを確認してください。明らかに悪意のある IP アドレスについては、IP ブラックリストを構成してブロックしてください。また、API の日次アクセスツール分布ベースラインに基づいて ACL アクセス制御ポリシーを構成するか、ボット管理モジュールを有効にして、API リソースの合理的な使用を確保することもできます。
異常な時間帯のアクセス
イベントの説明: API が異常な時間帯に呼び出されました。これは異常な呼び出しを示している可能性があります。
提案: ログの詳細を調査してアクティビティを確認してください。明らかに悪意のある IP アドレスについては、IP ブラックリストを構成してブロックしてください。
異常なパラメーター値を使用したアクセス
イベントの説明: リクエストパラメーターの形式がこの API へのリクエストの日次特性と一致しません。これは異常な呼び出しまたは攻撃を示している可能性があります。
提案: サンプルのリクエストデータとログの詳細を確認してアクティビティを確認してください。明らかに悪意のある IP アドレスについては、IP ブラックリストを構成してブロックしてください。Web 攻撃が確認された場合は、コア Web 保護モジュールを使用して API を保護し、API リソースの合理的な使用を確保してください。
アカウントリスク
弱いパスワードを使用した内部アプリケーションへのログイン
イベントの説明: IP アドレスが弱いパスワードを使用して内部アプリケーションにログインした疑いがあります。
提案: ログの詳細を確認して、ログインが成功したかどうかを確認してください。アカウントサービスについては、より強力なパスワードポリシーを適用してください。強力なパスワードは通常、大文字、小文字、数字、記号の 4 種類の文字のうち少なくとも 3 種類を含み、長さが 8 文字以上である必要があります。弱いパスワードを持つ既存のアカウントについては、ユーザーにパスワードの変更を通知してください。
ユーザー名に対するブルートフォース攻撃
イベントの説明: IP アドレスが、比較的一定のパスワードを使用しながら、常にユーザー名を変更して複数回のログイン試行を行いました。これはユーザー名のブルートフォース攻撃を示唆しています。
提案: ログの詳細を確認して、いずれかの試行が成功したかどうかを確認してください。定期的にパスワードを変更し、弱いパスワードが使用されていないことを確認してください。ログインサービスについては、確認コードを追加してログイン試行を制限するか、レート制限ポリシーを構成してログイン API の合理的な使用を確保してください。
パスワードに対するブルートフォース攻撃
イベントの説明: IP アドレスが、特定のアカウントに対して多数の異なるパスワードを試しながら複数回のログイン試行を行いました。これはパスワードのブルートフォース攻撃の疑いがあります。
提案: ログの詳細を確認して、いずれかの試行が成功したかどうかを確認してください。定期的にパスワードを変更し、弱いパスワードが使用されていないことを確認してください。ログインサービスについては、確認コードを追加してログイン試行を制限するか、レート制限ポリシーを構成してログイン API の合理的な使用を確保してください。
辞書攻撃
イベントの説明: IP アドレスが、多数の異なるユーザー名とパスワードを使用して複数回のログイン試行を行いました。これは辞書攻撃を示唆しています。
提案: ログの詳細を確認して、いずれかの試行が成功したかどうかを確認してください。定期的にパスワードを変更し、弱いパスワードが使用されていないことを確認してください。ログインサービスについては、確認コードを追加してログイン試行を制限するか、レート制限ポリシーを構成してログイン API の合理的な使用を確保してください。
SMS メッセージ確認コードに対するブルートフォース攻撃
イベントの説明: IP アドレスが、多数の異なるコードを使用して SMS メッセージコードを検証しようと複数回試行しました。これは確認コードに対するブルートフォース攻撃の疑いがあります。
提案: ログの詳細を調査してアクティビティを確認してください。明らかに悪意のある IP アドレスについては、IP ブラックリストを構成してブロックしてください。また、API の日次レート分布ベースラインに基づいてレート制限ポリシーを構成し、API リソースの合理的な使用を確保することもできます。
メール確認コードに対するブルートフォース攻撃
イベントの説明: IP アドレスが、多数の異なるコードを使用してメール確認コードを検証しようと複数回試行しました。これは確認コードに対するブルートフォース攻撃の疑いがあります。
提案: ログの詳細を調査してアクティビティを確認してください。明らかに悪意のある IP アドレスについては、IP ブラックリストを構成してブロックしてください。また、API の日次レート分布ベースラインに基づいてレート制限ポリシーを構成し、API リソースの合理的な使用を確保することもできます。
バッチ登録
イベントの説明: IP アドレスが異常な数の登録リクエストを行っており、バッチ登録アクティビティを示唆しています。これにより、多くのスパムアカウントが作成される可能性があります。
提案: ログの詳細を調査してアクティビティを確認してください。明らかに悪意のある IP アドレスについては、IP ブラックリストを構成してブロックしてください。また、API の日次レート分布ベースラインに基づいてレート制限ポリシーを構成し、API リソースの合理的な使用を確保することもできます。
API の乱用
SMS リソースの悪意のある消費
イベントの説明: IP アドレスが SMS を送信するために複数回リクエストを行いました。これは SMS リソースの悪意のある消費、または SMS フラッディングに API を使用していることを示唆しており、ビジネス上の損失を引き起こす可能性があります。
提案: ログの詳細を調査してアクティビティを確認してください。明らかに悪意のある IP アドレスについては、IP ブラックリストを構成してブロックしてください。また、単一の電話番号への SMS 送信頻度を制限し、API の日次レート分布ベースラインに基づいてレート制限ポリシーを構成して、API リソースの合理的な使用を確保する必要があります。
メールリソースの悪意のある消費
イベントの説明: IP アドレスがメールを送信するために複数回リクエストを行いました。これは、メールサービスリソースを消費する悪意のある試み、またはメール爆弾攻撃を開始する試みであると疑われます。これにより、メールサービスの安定性に影響が及ぶ可能性があります。
提案: ログの詳細を調査してアクティビティを確認してください。明らかに悪意のある IP アドレスについては、IP ブラックリストを構成してブロックしてください。また、単一のメールボックスへのメール送信頻度を制限し、API の日次レート分布ベースラインに基づいてレート制限ポリシーを構成して、API リソースの合理的な使用を確保する必要があります。
バッチダウンロード
イベントの説明: IP アドレスが異常な数のデータエクスポートまたはダウンロードリクエストを行い、多くのファイルを取得しています。これはデータ漏洩のリスクをもたらす可能性があります。
提案: ログの詳細を調査してアクティビティを確認してください。明らかに悪意のある IP アドレスについては、IP ブラックリストを構成してブロックしてください。また、API の日次レート分布ベースラインに基づいてレート制限ポリシーを構成し、API リソースの合理的な使用を確保することもできます。
データクロール
イベントの説明: IP アドレスが、走査的なパラメーター値で API を複数回呼び出しました。これは API データをクロールしようとする試みであると疑われます。
提案: ログの詳細を調査してアクティビティを確認してください。明らかに悪意のある IP アドレスについては、IP ブラックリストを構成してブロックしてください。ビジネスニーズに基づいてパラメーターのランダム性を高めてください。短い数字など、単純で推測しやすいパラメーター値の使用は避けてください。
API 攻撃
イベントの説明: IP アドレスが API に対して Web 攻撃を開始しました。すべての攻撃は Web 攻撃保護モジュールによってブロックされました。
提案: ログの詳細を使用して IP の動作を分析してください。明らかに悪意のある IP アドレスについては、IP ブラックリストを構成してブロックしてください。
機密データの漏洩
機密データへの不正アクセス
イベントの説明: IP アドレスが API を不正に呼び出し、機密データを取得した疑いがあります。これはデータ漏洩のリスクをもたらす可能性があります。
提案: ログの詳細を調査してアクティビティを確認してください。重要な API については、不正または権限昇格された使用を防ぐために、厳格で完全な ID 認証メカニズムを実装してください。
大量の機密データアクセス
イベントの説明: IP アドレスが API を呼び出し、異常に大量の機密データを取得しました。これはデータ漏洩のリスクをもたらす可能性があります。
提案: ログの詳細を調査してアクティビティを確認してください。可能な限り重要な機密データを匿名化し、応答から不要なデータタイプを削除してください。さらに、API のレート制限ポリシーを構成してください。
国外の IP アドレスによる大量の機密データアクセス
イベントの説明: あなたの国からの IP アドレスが API を呼び出し、複数の機密データを取得しました。これはデータ侵害およびデータコンプライアンスのリスクをもたらす可能性があります。
提案: ログの詳細を調査してアクティビティを確認してください。機密データの国境を越えた送信は、コンプライアンスリスクをもたらす可能性があります。この転送に正当なビジネス上の必要性がある場合は、評価を実施し、必要な申告または届出を完了することをお勧めします。
応答例外
エラーメッセージの返却
イベントの説明: API 呼び出し中に、API が例外エラーメッセージを返しました。これにより、アプリケーションの構成などの重要な情報が漏洩する可能性があります。
提案: ログの詳細を調査して、API が正常に機能しているかどうかを確認してください。アプリケーションの例外処理を最適化して、生の例外詳細を返す代わりに、一般的なエラーメッセージを返すか、指定されたページにリダイレクトしてください。
データベースエラーメッセージの返却
イベントの説明: API 呼び出し中に、API がデータベースエラーメッセージを返しました。これにより、データベースのクエリ文やテーブル名などの重要な情報が漏洩する可能性があります。
提案: ログの詳細を調査して、API が正常に機能しているかどうかを確認してください。アプリケーションの例外処理を最適化して、生の例外詳細を返す代わりに、一般的なエラーメッセージを返すか、指定されたページにリダイレクトしてください。
機密性の高いシステム情報の返却
イベントの説明: API 呼び出し中に、API が重要な機密サーバー情報を返しました。これはデータ漏洩のリスクをもたらします。
提案: ログの詳細を調査して、返されたデータが期待どおりであるかどうかを確認してください。このようなデータをクライアントに直接返すことは避けてください。
異常な応答
イベントの説明: 一連の API 呼び出し中に、応答における異常な HTTP ステータスコードの割合が 80% を超えました。これは、オリジンサーバーに問題がある可能性を示唆しています。
提案: ログの詳細を調査し、オリジンサーバーのログを確認して、API が正常に機能しているかどうかを確認してください。
カスタムイベント
カスタムイベントルール
イベントの説明: この IP アドレスからの API 呼び出しは、構成したカスタムイベント検出ポリシーに一致しました。
提案: ポリシー構成で入力した内容を表示します。
API セキュリティは、企業がデータ漏洩のリスクを軽減するのにどのように役立ちますか?
API セキュリティは、API の脆弱性を検出し、異常な API イベントを再構築し、それらを処理するための詳細な提案を提供します。
API の脆弱性: 企業は、内部 API (内部オフィス用、開発テスト用、運用管理用など) をインターネットに公開する可能性があります。これにより、攻撃者は API を通じて機密データを取得できます。
異常な API イベント: これらは、事前に定義されたビジネス要件やアクセスシナリオの範囲外で発生する、通常のベースラインから逸脱した動作です。
クロスボーダーデータ転送
(中国本土のみ) クロスボーダーデータ転送の申告と届出の基準は何ですか?
申告が必要 (以下のいずれかの条件を満たす場合)
前年の 1 月 1 日以降に海外に転送された個人情報の累計人数が 100,000 人を超える。
前年の 1 月 1 日以降に海外に転送された機密性の高い個人情報の累計人数が 10,000 人を超える。
前年の 1 月 1 日以降にデータが海外に転送され、組織によって処理された個人情報の累計人数が 1,000,000 人を超える。
申告不要
前年の 1 月 1 日以降に海外に転送された個人情報の累計人数が 100,000 人未満。
前年の 1 月 1 日以降に海外に転送された機密性の高い個人情報の累計人数が 10,000 人未満。
前年の 1 月 1 日以降にデータが海外に転送され、組織によって処理された個人情報の累計人数が 1,000,000 人未満。
API セキュリティ体制の初期評価
API セキュリティを有効にする前に、[基本検出] 機能を使用して API セキュリティ体制を評価できます。この機能は、すべての WAF 3.0 インスタンスでデフォルトで有効になっており、無料です。WAF ログのオフライン分析を実行し、セキュリティイベントの概要、資産の概要、およびセキュリティイベントのリストを提供します。このページには、API 資産と異常イベントに関する統計が表示され、最新の 10 件の異常な API 呼び出しイベントがリストされます。
[基本検出] 機能は、有料の API セキュリティサービスよりも検出機能が制限されています。検出結果には不一致や遅延が生じる場合があります。
[基本検出] 機能は、詳細なデータビューを提供しません。
API セキュリティ ページに移動します。トップメニューバーから、リソースグループとリージョン (中国本土 または 中国本土以外) を選択します。
Basic Detection セクションで、基本検出データを表示できます。
セキュリティイベントの概要: API セキュリティイベントの総数、および高リスク、中リスク、低リスクのイベント数が含まれます。
資産の概要: API 資産の総数、アクティブな API、および非アクティブな API が含まれます。
セキュリティイベント: 各セキュリティイベントのイベント名、API パス、ドメイン名、攻撃元、発生時刻を示すカードを表示します。
API セキュリティサービスを有効にする
API セキュリティは、すべての計算と分析をオフラインで実行します。このサービスは、API を積極的にプローブすることはなく、ビジネス運用に影響を与えません。
API セキュリティは、特定の特徴に一致するリクエストとレスポンスを検出することで、データ漏洩のリスクを特定します。API セキュリティを有効にすることにより、WAF がこれらの分析を実行することを承認したことになります。有効にする前に、実際のビジネスシナリオに基づいてサービスを評価する必要があります。
API セキュリティ ページに移動します。トップメニューバーから、リソースグループとリージョン (中国本土 または 中国本土以外) を選択します。
API セキュリティを有効にします。
API セキュリティの無料トライアルを開始する
説明Pro、Enterprise、Ultimate エディションでは、API セキュリティの 7 日間の無料トライアルを 1 回提供しています。
トライアル終了後、公式バージョンを購入していない場合、トライアル中に生成された分析データは直ちに消去されます。トライアルデータを保持するには、トライアル終了前に API セキュリティの公式バージョンを購入してください。
API リクエストセキュリティ ページで、Apply for 7-day Free PoC をクリックします。
API セキュリティの公式バージョンを購入する
API リクエストセキュリティ ページで、今すぐ有効化する をクリックします。API セキュリティを有効にすることを選択した後、[今すぐ購入] をクリックして支払いを完了します。
API セキュリティの概要ページを表示する
API リクエストセキュリティ ページの 概要 タブで、API Asset Trend、Risk Trend、Attack Trend、Risky Site Statistics、Statistics on Attacked Sites、Statistics on Request Sensitive Data Types、および Statistics on Response Sensitive Data Types の各チャートを表示します。デフォルトの統計期間は 30 日です。
サポートされているクエリおよびフィルター操作
API Asset Trend、Risk Trend、および Attack Trend の各チャートで、チャートの凡例 (API 資産の合計、アクティブな API など) の項目をクリックして、チャートに表示されるデータをフィルタリングします。
Risky Site Statistics、Statistics on Attacked Sites、Statistics on Request Sensitive Data Types、および Statistics on Response Sensitive Data Types の各テーブルでは、表示されるデータを昇順または降順でソートできます。各テーブルの右上隅にある More をクリックして、対応するタブで詳細を表示します。
制限事項
API セキュリティ機能は、Function Compute (FC) を介して追加された保護対象オブジェクトでは使用できません。Microservices Engine (MSE) を使用する場合、クラウドネイティブゲートウェイエンジンのバージョンは 2.0.4 以降である必要があります。
サブスクリプションベースの Basic Edition は API セキュリティをサポートしていません。