このOWASP APIセキュリティトップ10の第2版は、初版からちょうど4年後にリリースされました。API(セキュリティ)のシーンでは多くの変化がありました。APIトラフィックは急速に増加し、一部のAPIプロトコルがさらに注目されるようになり、多くの新しいAPIセキュリティベンダー/ソリューションが登場し、もちろん、攻撃者もAPIを侵害するための新しいスキルや技術を開発しました。この10の最も重大なAPIセキュリティリスクのリストを更新する時期となりました。
APIセキュリティ業界がより成熟している今回、初めてデータの公開呼びかけが行われました。残念ながらデータの提供はありませんでしたが、プロジェクトチームの経験、注意深いAPIセキュリティ専門家のレビュー、そしてリリース候補に対するコミュニティのフィードバックを基に、この新しいリストを作成しました。この版がどのようにして作成されたかについての詳細は方法論とデータセクションでご確認いただけます。セキュリティリスクの詳細については、APIセキュリティリスクセクションをご参照ください。
OWASP APIセキュリティトップ10 2023は、急速に進化する業界向けの先進的な意識向上ドキュメントです。他のトップ10を置き換えるものではありません。今回の改訂では以下の点に注力しています:
- 過剰なデータ露出とマスアサインメントを統合し、共通の根本原因であるオブジェクトプロパティレベルの認可検証の不備に焦点を当てました。
- リソース消費により重点を置き、その消費のペースに過度に焦点を当てるのを避けました。
- 新たな脅威を取り込むために、”重要なビジネスフローへの無制限アクセス”という新しいカテゴリを作成しました。これには、レート制限を使用して緩和できる脅威の大部分が含まれます。
- “APIの安全でない利用”を追加しました。攻撃者はターゲットの直接的なAPIを狙う代わりに、ターゲットの統合サービスを狙い始めていることが増えてきたため、この増加しているリスクについて意識を高めるのに適した時期です。
現代のマイクロサービスアーキテクチャ、シングルページアプリケーション(SPA)、モバイルアプリ、IoTなどでAPIはますます重要な役割を果たしています。OWASP APIセキュリティトップ10は、現代のAPIセキュリティの問題に関する認識を高めるための必須の取り組みです。
この更新は、多くのボランティアの素晴らしい努力によって可能になりました。彼らの名前は謝辞セクションに掲載されています。
ありがとうございます!
この翻訳がお役に立てれば幸いです。