OWASP
OWASP API Security Top 10
API 固有のセキュリティリスクに特化した OWASP のランキング。認可の不備やレート制限の欠如など、Web API 設計・運用で見落としやすい脅威を体系的に整理
OWASP API Security Top 10 とは
OWASP API Security Top 10 は、REST API や GraphQL などの Web API に特化したセキュリティリスクのランキングです。
Web アプリケーション向けの OWASP Top 10 とは異なり、API 固有の脅威(オブジェクトレベルの認可不備、過剰なデータ露出、レート制限の欠如など)にフォーカスしています。
最新版は 2023 年版で、2019 年版から大幅に更新されました。
マイクロサービスや BFF(Backend for Frontend)が普及した現在、API セキュリティの重要性はますます高まっています。
ランキング推移一覧
| リスク | 2023 | 2019 | 関連脅威 |
|---|---|---|---|
| オブジェクトレベル認可の不備 | 1 | 1 | |
| 認証の不備 | 2 | 2 | |
| オブジェクトプロパティレベル認可の不備 | 3 | -- | |
| 制限のないリソース消費 | 4 | -- | |
| 機能レベル認可の不備 | 5 | 5 | |
| 機密ビジネスフローへの無制限アクセス | 6 | -- | |
| サーバーサイドリクエストフォージェリ | 7 | -- | |
| セキュリティの設定ミス | 8 | 7 | |
| 不適切なインベントリ管理 | 9 | -- | |
| 安全でない API の利用 | 10 | -- | |
| 過剰なデータ露出 | -- | 3 | |
| リソースとレート制限の欠如 | -- | 4 | |
| マスアサインメント | -- | 6 | |
| インジェクション | -- | 8 | |
| 不適切な資産管理 | -- | 9 | |
| 不十分なログとモニタリング | -- | 10 |
関連トピック
CORS(オリジン間リソース共有)- 異なるオリジン間での HTTP リクエストを制御する仕組み。同一オリジンポリシーを緩和しつつ、不正なアクセスを防ぐ。 OAuth 2.0- サードパーティにパスワードを渡さずにリソースへのアクセスを委譲する認可フレームワーク。 JWT(JSON Web Token)- JSON ベースのトークン形式。署名により改ざんを検知できるが、適切に運用しないとセキュリティリスクになる。 セッション管理- ユーザーの認証状態を維持する仕組み。セッション固定攻撃やセッションハイジャックへの対策が重要。 SQL インジェクション- ユーザー入力を通じて不正な SQL 文を実行させる攻撃。データの漏洩・改ざん・削除が可能になる。 セキュリティヘッダ- HTTP レスポンスヘッダでブラウザのセキュリティ機能を有効化する。CSP, HSTS, X-Frame-Options など複数のヘッダを組み合わせて防御層を構築する。 ログ監視とモニタリング- セキュリティイベントのログを収集・分析し、異常を検知する仕組み。インシデント対応と事後分析の基盤となる。 安全でないデシリアライゼーション- 信頼できないデータのデシリアライズにより、任意のコード実行やアプリケーションロジックの改ざんが可能になる脆弱性。