APIセキュリティOWASP Top10対策【2026年版】

クラウド・インフラセキュリティ
2026.03.18

※本記事にはアフィリエイトリンクが含まれます。詳しくはプライバシーポリシー・広告掲載についてをご覧ください。

【PR開示】本記事にはアフィリエイトリンクが含まれる場合があります。

スマートフォンアプリ・SaaSサービス・マイクロサービスアーキテクチャの普及により、現代のシステムは無数のAPI(Application Programming Interface)で構成されています。その一方で、APIは攻撃者にとって格好の標的となっています。Gartnerは「2026年までにAPIが最も頻繁に悪用されるエンタープライズ攻撃ベクターになる」と予測しており、実際にAPIを狙ったデータ漏洩事件は年々増加しています。本記事では、OWASP API Security Top 10(2023版)をベースに、APIセキュリティの基本的な脆弱性と実践的な対策を解説します。

OWASP API Security Top 10とは

OWASP(Open Web Application Security Project)は、Webセキュリティの標準化団体で、APIセキュリティに特化したリスクリストを公開しています。2023年に改訂されたOWASP API Security Top 10は、現実の攻撃パターンと業界からのフィードバックを反映した最新版です。本記事ではTop 10の中から特に中小企業のシステムで注意すべき脆弱性を中心に解説します。

OWASP API Security Top 10 2023の一覧図
OWASP API Security Top 10(2023版)の脆弱性カテゴリ一覧

API1: オブジェクトレベルの認可不備(BOLA)

BOLA(Broken Object Level Authorization)は最も多く報告されるAPI脆弱性です。ユーザーAが自分のリソース(/api/orders/1234)だけでなく、他ユーザーのリソース(/api/orders/5678)にも直接アクセスできてしまう問題です。数字を1ずつ変えてアクセスするIDORと呼ばれる攻撃で容易に悪用されます。

対策: リソースへのアクセス時に「認証済みユーザーがそのリソースの所有者か」をサーバ側で必ず検証する。数値の連番IDではなくUUID(ランダムな識別子)を使う。

API2: 認証の不備(Broken Authentication)

APIの認証機構に欠陥がある脆弱性です。具体的には、有効期限のないJWTトークン・弱い署名アルゴリズム(HS256への強制ダウングレード)・パスワードリセットフローの欠陥・多要素認証の欠如などが該当します。モバイルアプリのAPIでは、アプリ内にハードコードされたAPIキーが逆コンパイルで露出するケースも多発しています。

対策: JWTには適切な有効期限(短期トークン+リフレッシュトークン方式)を設定する。アルゴリズムはRS256/ES256を推奨。APIキーはソースコードに埋め込まず、環境変数・シークレット管理サービス(AWS Secrets Manager・HashiCorp Vault)を使用する。

API3: オブジェクトプロパティレベルの認可不備(BOPLA)

2023年版で新たに追加された脆弱性です。APIが返すレスポンスに、クライアントが本来アクセスすべきでないフィールド(パスワードハッシュ・内部フラグ・他ユーザーの情報)が含まれてしまう問題(過剰データ露出)と、リクエストで送った余分なパラメータがサーバ側で受け入れられてしまう問題(マスアサインメント)の両方を含みます。

対策: レスポンスには必要最小限のフィールドのみ含める。レスポンスフィルタリング(許可フィールドの明示的指定)を実装する。マスアサインメント対策として、リクエストボディの許可パラメータをホワイトリストで管理する。

API4: リソース消費制限の欠如(Unrestricted Resource Consumption)

レート制限(Rate Limiting)が設定されていないAPIは、大量リクエストによるDoS攻撃・コスト増大・クレデンシャルスタッフィング攻撃(大量のID/パスワードの組み合わせ試行)に脆弱です。AI/ML APIでは1リクエストあたりのコストが高いため、レート制限欠如が直接的な金銭的損害につながります。

対策: エンドポイントごとに適切なレート制限を設定する(例: ログインAPI = 1分間に5回まで)。APIゲートウェイ(Kong・AWS API Gateway・Apigee)でレート制限を一元管理する。レスポンスにX-RateLimit-Remainingヘッダを含め、クライアントに残余リクエスト数を通知する。

API5: 機能レベルの認可不備(BFLA)

BFLA(Broken Function Level Authorization)は、一般ユーザーが管理者専用のAPIエンドポイント(/api/admin/usersなど)にアクセスできてしまう脆弱性です。APIのエンドポイント一覧が推測しやすい命名規則(/api/v1/admin//api/internal/)になっている場合、攻撃者がエンドポイントを探索(ファジング)して発見するリスクがあります。

対策: すべてのAPIエンドポイントで認証・認可チェックを実施する(「デフォルト拒否」原則)。管理機能APIは別ドメイン・別ポートで提供し、本番APIから分離する。OpenAPI仕様書に全エンドポイントの認可要件を明記し、定期的に棚卸しを行う。

API6〜10: その他の重要脆弱性

  • API6: サーバサイドリクエストフォージェリ(SSRF): APIがユーザー指定URLにリクエストを送る機能を悪用し、内部ネットワークやクラウドメタデータエンドポイント(169.254.169.254)にアクセスさせる攻撃。対策: URLの検証・内部IPのブロックリスト・メタデータエンドポイントのIMDSv2強制
  • API7: セキュリティの設定ミス: CORSの過剰な許可(Access-Control-Allow-Origin: *)・エラーメッセージへの内部情報露出・デバッグエンドポイントの本番環境残存。対策: セキュリティヘッダの適切な設定・エラーメッセージの汎化
  • API8: バージョン管理の問題: 古いAPIバージョン(/api/v1/)が廃止されずに残り、新バージョンで修正済みの脆弱性が旧バージョンで悪用される。対策: 古いAPIバージョンの定期的な廃止・バージョンごとのセキュリティパッチ管理
  • API9: 不適切なインベントリ管理: Shadow API(ドキュメント化されていない非公式API)や忘れられたAPIエンドポイントの存在。対策: APIカタログ(OpenAPI Spec)の維持・定期的なAPIスキャン(DAST)
  • API10: APIの安全でない使用: 自社APIが依存するサードパーティAPIの脆弱性・不正な応答データのそのままの使用。対策: 外部APIレスポンスのバリデーション・依存APIのセキュリティ評価

APIセキュリティ強化の実践チェックリスト

  • ☑ すべてのAPIエンドポイントに認証(JWT/OAuth 2.0)を設定する
  • ☑ リソースへのアクセスはオブジェクト所有者をサーバ側で必ず検証する(BOLA対策)
  • ☑ APIゲートウェイでレート制限・IPブロック・ログ収集を一元管理する
  • ☑ レスポンスは必要最小限のフィールドのみ返す(過剰データ露出防止)
  • ☑ セキュリティヘッダ(CORS・Content-Security-Policy・X-Content-Type-Options)を適切に設定する
  • ☑ OpenAPI仕様書を最新に保ち、全エンドポイントをカタログ管理する
  • ☑ 定期的なAPIペネトレーションテスト・DAST(動的スキャン)を実施する
  • ☑ APIキー・シークレットはソースコードに埋め込まずシークレット管理ツールで管理する

おすすめセキュリティ対策ツール

APIセキュリティ対策と並行して、開発端末やサーバのエンドポイント保護も欠かせません。

🛡️ まず今日から始めるなら:エンドポイント保護ソフトの導入
開発者の端末がマルウェアに感染すると、APIキーや認証情報が盗まれるリスクがあります。信頼性の高いセキュリティソフトで開発環境を守りましょう。

  • — 誤検知が少なく軽量。開発者環境に人気のコスパ重視セキュリティソフト
  • — 日本語サポートが充実。国産ソフトで中小企業導入実績多数
  • — 世界最大手のセキュリティベンダー。VPN機能も含む総合対策

✅ おすすめのセキュリティソフト

※ アフィリエイトリンクを含みます。料金・詳細は各公式サイトでご確認ください。

まとめ:APIセキュリティは「設計段階」から組み込む

  • OWASP API Security Top 10(2023)はAPIに特化した最重要脆弱性リストで実装の指針となる
  • BOLAとBFLAは「認可の抜け穴」—すべてのAPIでオブジェクト所有者・ロールの検証を徹底する
  • レート制限・認証・レスポンスフィルタリングの3点セットがAPIセキュリティの基本
  • OpenAPI仕様書によるカタログ管理でShadow APIをなくし、定期的なDAST/ペンテストで検証する
  • APIセキュリティは後付けではなく、設計・実装・テスト・運用の全フェーズで継続的に取り組む

APIはシステムの「裏口」になりやすく、攻撃者は常にその隙を狙っています。OWASP API Top 10を開発チームで共有し、コードレビューやCI/CDパイプラインへのセキュリティテスト組み込みから始めてみましょう。

関連記事: ゼロトラストアーキテクチャとは?2026年版導入ガイド / ランサムウェア攻撃の最新手口と2026年版完全対策ガイド

参考資料: OWASP API Security Top 10 2023 / IPA 情報セキュリティ10大脅威 2026 / OWASP REST Security Cheat Sheet

コメント

タイトルとURLをコピーしました