公開ガイド

APIセキュリティ強化（OWASP API Top 10: 2023）

BlackShield が OWASP API Top 10 における認可、悪用、設定不備のリスクから公開 API とテナント API をどう保護しているかを確認します。対象: セキュリティアーキテクト、AppSec レビュー担当者、コンプライアンス関係者. 一般的な設定時間: 12〜15分.

開始前に

API インベントリが最新で、公開エンドポイントとテナント向けエンドポイントを含むことを確認します。
認証、認可、悪用防止コントロールの責任者を決めます。
レート制限、RBAC、エンドポイントレビューの最新エビデンスを準備します。

手順

ステップ 1

認可境界を検証する

各エンドポイントで明示的な認証とロールチェックが必須であり、クエリフィルタでワークスペース境界が適用されていることを確認します。

読み取り・書き込みの両方で RBAC が適用されていることを確認します。
テナントデータへのアクセスがアクティブなワークスペースに限定されることを確認します。
管理者専用フローと特権昇格保護を確認します。

ステップ 2

悪用対策を検証する

機密 API フローにリクエスト制限があり、高コスト操作が悪用できないことを確認します。

認証エンドポイントのレート制限と 429 挙動を確認します。
テナントライフサイクルと ID 管理のレート制限を確認します。
高負荷時のテナント公平性コントロールを確認します。

ステップ 3

インベントリと変更管理を検証する

バージョン管理された API インベントリと廃止計画を使い、コントロールを現在のエンドポイント面に合わせます。

認証モデルとアクセス境界を含む API インベントリ項目を確認します。
廃止予定には具体的な目標日を設定します。
このレビューを少なくとも四半期ごとに実施します。

成功チェック

重要エンドポイント分類ごとに API コントロールの責任とレビュー頻度が文書化されています。
認可、レート制限、インベントリ管理の最新エビデンスがレビュー担当者に紐付いています。

次のアクション

共有責任ガイドを確認 ID コントロールを確認監査証跡ガイドを確認

関連ガイド

APIセキュリティ強化（OWASP API Top 10: 2023） | BlackShield Docs