サービス
紹介資料

APIセキュリティ診断 (API診断、WebAPI診断)

デジタルサービスの利便性向上に不可欠なAPIを守る

APIセキュリティ診断とは、異なるWebアプリケーション・ソフトウェア・Webサービスなどをつなぐ仕組みであるAPI(Application Programming Interface)に、セキュリティ上の脆弱性がないかを検証・評価するプロセスのことです。現代のデジタルサービスにおいてAPIは欠かせない存在であり、様々なサービス連携や機能提供の要を担っています。一方で、その利便性の高さゆえ、サイバー攻撃の標的となりやすく、適切なセキュリティ対策が求められています。

APIセキュリティ診断の主な目的

潜在的な脆弱性の特定

API設計や実装、運用におけるセキュリティ上の弱点の洗い出し

情報漏えいの防止

APIを悪用した機密情報や個人情報の不正取得の防止

不正アクセス対策

APIを介したシステムの改ざん、サービス停止、不正な機能実行などの防止

サービスの信頼性維持

セキュリティインシデントによる信頼低下や経済的損失などの防止

Webアプリケーション診断で
APIは守れる?

WebサイトやWebアプリケーションの運営・提供にあたって、いまではWebアプリケーション診断の取り組みが広く普及しています。しかし、それだけではAPIを狙う多様な攻撃に対応するには不十分です。WebブラウザからWebアプリケーション経由でAPIを操作する場合は、一部対応できる場合がありますが、API連携ではAPIをプログラムから直接実行することがほとんどであるため、APIに特化した対策を行わないと外部からの攻撃に対応できません。

- API特有の脆弱性一例 -

オブジェクト
レベルの
認可の不備

API認証の
不備

サーバーサイド
リクエスト
フォージェリ

APIに特化した診断が必要

APIは、その特性上、Webアプリケーション診断では見逃されやすい固有の脆弱性を多く抱えています。そのため、APIの機能や内部ロジック、データフローを深く理解した上で、セキュリティ上の欠陥がないかを専門的に検証するアプローチが不可欠です。APIに特化した診断を行うことで、見過ごされていた脆弱性を発見し、デジタルサービスの安全性を高めることが可能です。

Webアプリケーション診断にかかるコストが膨大APIにまで予算を割けない

APIセキュリティ診断は、UIが無く仕様書が不完全なことが多いといった要因から、ツールによる自動判定が難しいとされています。加えて、多くの企業では専門人材を確保することが難しいため、外部委託に頼らざるを得ないのが現状です。そのため、Webアプリケーション診断に加えて実施するには費用が高額になりすぎるという点で、実施ができていない企業も少なくありません。

AeyeScanなら
APIセキュリティ診断も自動化

         

AeyeScanは、高度なAI技術で診断作業を自動化することで、「誰でも使える簡単さ」と「プロさながらの品質・精度」を両立させた、クラウド型Webアプリケーション脆弱性診断ツールです。
Webアプリケーションに加え、APIに特化した診断機能を提供しており、OWASP API Security Top 10で示されている脆弱性を検出することができます※。OpenAPIファイルなどからAPIリクエスト情報をインポートすれば、あとは自動でAPIセキュリティ診断を実施することが可能です。

※過度な負荷をかけたり外部からの検査が困難な項目は除く

  • OpenAPIファイル(API定義ファイル)のインポートが可能
  • harファイル(http通信ログのアーカイブ)のインポートが可能
  • cURLコマンドでAPIリクエストの登録が可能
  • OpenAPI3.0、3.1に対応

AeyeScanが選ばれている
理由

非エンジニアでもOK!
3STEPで診断開始

スタートガイドに従って進めるだけのかんたん導入。そのため、トレーニング不要で、非エンジニアの方でも最短10分で診断を開始することが可能です。
また、AIを用いた自動クローリングによって、テストシナリオを自動で生成するため、面倒なテスト範囲の設定も必要ありません。さらに豊富な機能で、理想の脆弱性診断を実現いたします。

AeyeScanと他の自動化ツールとの違い

セキュリティのプロも認める
安心の診断項目

AeyeScanが提供するのは簡易的な脆弱性診断ではありません。世界的なセキュリティ基準として定評のある、OWASPアプリケーションセキュリティ検証標準に沿った診断項目に対応。随時アップデートを行うことで最新のセキュリティ状況を反映し、本格的な脆弱性診断を提供しています。
このことから、多くのセキュリティベンダーにも活用いただいています。

ここがポイント

  • 経済産業省が策定した「情報セキュリティサービス基準」に適合している脆弱性診断サービスとして、AeyeScanが「情報セキュリティサービス台帳」に登録
  • 独立行政法人情報処理推進機構(IPA)2021年度 セキュリティ製品の有効性検証において、有識者会議による審査の結果、AeyeScanが選定

専門家作成と遜色ないレポートを自動生成

当然ながらセキュリティ対策は、脆弱性診断だけでは終わりません。発見された脆弱性のある箇所に対して、適切な対策が求められます。
AeyeScanでは、脆弱性のある箇所をただ羅列するだけではなく、どういったリスクがあるのか、どういった対策が必要であるのかなど、専門家が作成するものと遜色ない診断レポートを自動で生成。
そのまま開発部門に渡せる内容を網羅しているため、担当者によるレポート作成業務が不要です。

日本語でわかりやすい!充実のレポート内容
初めての脆弱性診断に
専任者選定もエンジニアの採用も不要
事前設定不要最短10分で診断開始
わかりやすいレポート

FAQ

  • 料金の目安について教えてください

    お客様の用途やサイト数などに応じて個別にお見積りいたします。
    最適なプランをご提案いたしますので、まずは「お問い合わせフォーム」より、お気軽にご相談ください。
  • どのような導入形態がありますか?

    AeyeScanはクラウド上で提供されるSaaS形式です。専用サーバーの構築やソフトウェアのインストールは不要で、ブラウザからログインするだけで即座に診断を開始できます。
  • どのような企業が導入していますか?

    IT企業やSIerはもちろん、金融、製造、流通など、業種・業態を問わず幅広いユーザー企業にご導入いただいております。

    また、高度な専門知識を持つセキュリティベンダー各社に、診断業務の基盤ツールとして活用いただいている点もAeyeScanの特長です。導入企業の一部を「こちら」でご紹介しています。
  • API固有の脆弱性はどのようなものが検出できますか?

    「オブジェクトレベルの認可の不備」や「認証の不備」をはじめ、最新の「OWASP API Security Top10 2023」に準拠した広範な診断に対応しています。

    具体的な検出項目の一覧については、弊社サポートポータル内のFAQ(こちら)にて詳しく記載しておりますので、あわせてご参照ください。
  • 認証が必要なAPIの診断は可能ですか?(BearerトークンやAPIキー)

    はい、可能です。「Bearerトークン」や「APIキー」を利用した高度な認証フローにも柔軟に対応しています。

    具体的には、以下の設定により認証を維持した状態での網羅的な診断が可能です。

    ・「Bearerトークン」を使用している場合:アクセストークンを発行するAPIの「ログイン」設定を有効にすることで、後続のAPIへトークンを自動で引き継ぐ設定が可能です
    ・固定の「APIキー」や「トークン」が必要な場合:事前に「フォーム入力値設定」または「カスタムヘッダ」機能を利用して値を設定しておくことで対応可能です

    複雑な認可プロセスを自動化することで、手動でのセッション維持にかかる工数を大幅に削減し、効率的なAPI診断を実現します。
AeyeScan

AeyeScanの導入を検討してみませんか?

操作性の確認、
実際に利用してみたい方へ

「AeyeScan」の無料トライアル

トライアルにかかる費用は不要。実際の操作性はどうなの?またどのように脆弱性が発見されるのか?などの疑問は無料トライアルで解消しましょう。

無料トライアルの申し込み

サービスをより詳しく
知りたい方へ

「AeyeScan」のサービス概要資料

改めてサービスの特長や導入効果、企業の導入実績などAeyeScanについてより詳しく知りたい方はぜひサービス紹介資料をご覧ください。

サービス資料を読む

お見積もりの希望・導入を
ご検討している方へ

「AeyeScan」へのお問い合わせ

お見積りの希望・導入をご検討してくださっている方はお問い合わせフォームよりご連絡ください。当日もしくは遅くとも翌営業日にはご連絡を差し上げます。

お問い合わせフォーム