APIセキュリティモジュールの設定方法 - Web Application Firewall

APIセキュリティモジュールは、Web Application Firewall (WAF) の独立したモジュールであり、別途購入する必要があります。 APIセキュリティモジュールは、WAFによって保護されているサービスのAPIアセットを自動的にソートし、組み込みの検出メカニズムとカスタム検出ポリシーに基づいてAPIリスクを検出します。リスクには、APIへの不正アクセス、機密データの公開、内部APIの公開が含まれます。このモジュールでは、レポート内のAPI例外イベントの表示、国境を越えたデータ転送のコンプライアンスの確認、機密データリークの追跡を行うことができます。このモジュールでは、検出されたリスクを処理するための提案とAPIライフサイクル管理の参照も提供します。サービスに必要なすべてのAPIアセットを特定して管理し、データフロー全体でAPIのセキュリティを向上させることができます。このトピックでは、APIセキュリティモジュールを設定する方法について説明します。

概要

デジタル経済時代では、企業は急速に変化する環境に直面し、外部の変化に迅速に対応する必要があります。効率を高めるために、企業は第三者とデータを共有する必要があります。システム間の通信を容易にするためのAPIの使用は、企業内の内部および外部システム統合のための重要な手段である。ますます多くの企業が、APIプラットフォームを使用して産業エコシステムを構築することにより、能力とリソースを開放しています。このようにして、パートナーは自由に利用できる高品質のリソースを活用して迅速な統合とイノベーションを実現し、API経済の誕生を促進し、データ交換からより多くの価値を生み出すことができます。企業の重要なタスクは、多数のAPIサービスと付加価値データサービスを提供することです。しかし、APIの急速な発展に伴い、リスクも増加しています。攻撃者によるAPIへの不正アクセス、設定エラー、および不正なAPIアクセス要求により、機密データが漏洩する可能性があります。リスクを軽減するために、WAFはAPIを監視し、トラフィックを視覚化してAPIアセットを自動的に識別および分類し、正当なアクセス要求のモデルを確立します。これにより、異常なAPIアクセスに対する迅速な識別と対応が可能になり、処理ループが保証されます。

コア特典

APIセキュリティモジュールは、APIを自動的に識別し、APIのリスクと攻撃を検出して、コア要件を満たすことができます。

ビジネスで必要なすべてのAPIを検出します。 APIセキュリティモジュールは、セキュリティチームがすべてのAPIの包括的なセキュリティ保護を構成するのに役立つカスタム検出ポリシーをサポートします。
不正アクセス、脆弱なパスワード、セキュリティ規則に準拠していないAPIデザインなどのAPIリスクを検出します。
機密データの盗難、APIデータのクロール、ブルートフォース攻撃、辞書攻撃、メッセージのフラッディングなどのAPI攻撃を検出します。これにより、攻撃を処理し、できるだけ早い機会にビジネスの損失を回避できます。

APIセキュリティステータスの確認

APIセキュリティモジュールを有効にする前に、基本的な検出を使用して、セキュリティイベントの概要、合計APIアセット、セキュリティイベントなどのAPIに関するセキュリティ情報を取得できます。デフォルトでは、サブスクリプションWAF 3.0インスタンスに対して基本検出モジュールが無料で有効になっています。基本検出モジュールは、WAFログをオフラインで分析し、APIアセット統計、異常イベント統計、および最新の10個の異常API呼び出しを表示します。

基本的な検出データを取得しない場合は、この操作をスキップできます。

説明

基本検出モジュールは、従量課金WAF 3.0インスタンスでは使用できません。
基本検出データおよび検出結果の表示は、レイテンシを有し得る。基本検出モジュールの検出機能は、APIセキュリティモジュールの検出機能ほど強力ではありません。結果として、2つのモジュールから得られる情報は異なる可能性がある。 APIセキュリティモジュールの検出結果はより正確です。

WAF 3.0コンソールにログインします。上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。
左側のナビゲーションウィンドウで、保護設定 > API セキュリティ を選択します。
では、基本的な検出セクション、基本的な検出データを表示します。
- セキュリティイベントの概要: APIセキュリティイベントの総数と、高リスク、中リスク、および低リスクのAPIセキュリティイベントの数を表示します。
- APIアセットの概要: APIアセットの総数、アクティブなAPIの数、および非アクティブ化されたAPIの数を表示します。
- セキュリティイベント: セキュリティイベントの名前、APIパス、ドメイン名、攻撃元、発生時刻を表示します。
基本検出モジュールは詳細なデータを提供しません。機密データを転送するAPIの数を表示したり、セキュリティイベントのリスク詳細とリスク処理の提案を表示したりする場合は、APIセキュリティモジュールを有効にします。詳細については、「APIセキュリティモジュールの有効化」をご参照ください。

説明

APIセキュリティモジュールは、WAFによって保護されているサービスのAPIを自動的にソートし、組み込みの検出メカニズムとカスタム検出ポリシーに基づいてAPIセキュリティリスクを検出します。このモジュールでは、機密データの国境を越えた転送を監視し、機密データの漏洩を追跡できます。これにより、APIの包括的な管理およびセキュリティ保護ポリシーを設定できます。 [概要] タブの統計に加えて、APIセキュリティモジュールには、資産管理、リスクとイベント、コンプライアンスチェックとトレースと監査、ポリシー設定に関する情報が表示されます。

資産管理機能は、クエリ、統計、および資産情報の管理をサポートします。
リスクとイベント機能は、リスク検出、セキュリティイベント、および全体的なデータに関するデータクエリと統計をサポートします。
中国本土以外の地域にデータを転送する場合は、国境を越えたデータ転送のセキュリティ評価を手配するために、地方のサイバースペース管理を通じて全国のサイバースペース管理に申請する必要があります。 APIセキュリティモジュールのコンプライアンスチェックとトレースおよび監査機能を使用して、国境を越えたデータ転送をチェックおよびトレースできます。機能は中国本土でのみサポートされています。
ポリシー設定機能を使用すると、リスク検出、セキュリティイベント、機密データ、認証資格情報、ビジネス目的、ライフサイクル管理、適用可能なオブジェクト、およびログサブスクリプションのポリシーを設定できます。ビジネス要件に基づいてポリシーを有効または無効にできます。この機能は組み込みポリシーをサポートします。カスタムポリシーを設定することもできます。

次の表に、APIセキュリティページのタブとAPIセキュリティモジュールの機能を示します。

タブ	機能	説明
概要	-	このタブには、APIアセットの傾向、リスクの傾向、リスクの高いサイトの統計、攻撃の傾向、攻撃されたサイトの統計、リクエストの機密データ型の統計、およびレスポンスの機密データ型の統計が表示されます。
資産管理	資産管理	この機能は、アクセスログをオフラインで分析してAPIを自動的に検出し、APIの特性に基づいてAPIが呼び出される理由を特定します。
リスク検出	リスクとイベント	この機能は、不正アクセスや機密データ漏洩などのさまざまなセキュリティリスクを検出し、リスク分析結果とセキュリティリスクの処理方法に関する提案を提供します。
セキュリティイベント	リスクとイベント	この機能は、API呼び出しを監視および分析して、異常なリクエストや攻撃をすばやく検出します。
コンプライアンスチェック	コンプライアンスのチェックとトレースと監査	コンプライアンスチェック機能は、アウトバウンドデータ転送のセキュリティ評価の基準に基づいて、国境を越えたデータ転送操作に関連するリスクを識別します。 APIセキュリティモジュールは、次のシナリオで転送操作のコンプライアンスをチェックします。 100万人以上の個人情報を処理した重要な情報インフラストラクチャオペレーターまたはデータプロセッサは、中国本土の外で個人情報を提供します。前年の1月1日以降、100,000人以上の個人情報または合計10,000人以上の機密個人情報を提供してきたデータ処理装置は、中国本土以外の個人情報を提供します。
追跡と監査	コンプライアンスのチェックとトレースと監査	トレースおよび監査機能は、機密データセキュリティイベントが発生したときにログと機密データサンプルを使用して、セキュリティイベントの相互検証を実行します。
ポリシーの設定	ポリシーの設定	この機能は組み込みの検出ポリシーをサポートし、カスタム検出ポリシーを設定できます。これにより、APIセキュリティモジュールの検出精度とリコール率が向上します。特定の保護されたオブジェクトに対して、APIセキュリティモジュールの他の機能を有効にすることもできます。

APIセキュリティモジュールの有効化

準備

WAF 3.0インスタンスを購入しました。詳細については、「サブスクリプションWAF 3.0インスタンスの購入」および「従量課金WAF 3.0インスタンスの購入」をご参照ください。

説明

Microservices Engine (MSE) インスタンスを追加した後に追加される保護オブジェクトでは、APIセキュリティモジュールを使用できません。またはFunction Compute関連のドメイン名をWAFに設定します。

手順

重要

データコンピューティングと分析はオフラインで実行されます。 APIセキュリティモジュールは、APIをアクティブに検出せず、ワークロードに影響を与えません。
APIセキュリティモジュールは、特定の特性を持つ応答を検出し、データリークが発生したかどうかを判断します。 APIセキュリティモジュールを有効にすると、WAFは応答を分析する権限を与えられます。ビジネス要件に基づいてAPIセキュリティモジュールを有効にします。

WAF 3.0コンソールにログインします。上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。
左側のナビゲーションウィンドウで、保護設定 > API セキュリティ を選択します。
APIセキュリティモジュールを有効にします。
- APIセキュリティモジュールの無料トライアルを申請
  説明
  - WAF Pro、Enterprise、またはUltimateインスタンスを使用している場合にのみ、APIセキュリティモジュールの無料トライアルを申請できます。各Alibaba Cloudアカウントは、無料トライアルを1回だけ申請できます。
  - 無料トライアルは7日間有効です。トライアル期間中に生成されたセキュリティ分析結果は、トライアル期間中のみ使用できます。セキュリティ分析結果を保持する場合は、試用期間が終了する前にAPIセキュリティモジュールを有効にします。
  API リクエストセキュリティ ページで、[今すぐ試す] をクリックします。表示されるページで、アプリケーションに入力し、[送信] をクリックします。
  Alibaba Cloudのエンジニアは、試用申請書を受け取った後、申請書に関連する情報を確認するために、送信した連絡先情報に基づいて1週間以内にお客様に連絡します。トライアルアプリケーションが承認されると、WAFインスタンスのAPIセキュリティモジュールが自動的に有効になります。
- APIセキュリティモジュールの有効化
  1. API リクエストセキュリティ ページで、今すぐ有効化 をクリックします。
  2. 今すぐ有効化 パネルで、APIセキュリティパラメーターを [有効にする] に設定し、[今すぐ購入] をクリックして支払いを完了します。

APIセキュリティデータの表示

[APIセキュリティ] ページの [概要] タブには、[APIアセットの傾向] 、[リスクの傾向] 、[リスクのあるサイトの統計] 、[攻撃の傾向] 、[攻撃されたサイトの統計] 、[要求の機密データ型の統計] 、および [応答の機密データ型の統計] の情報が表示されます。デフォルトの統計期間は30日です。

截屏2024-05-09 18

サポートされるクエリ操作とフィルター操作

[API Asset Trend] 、[Risk Trend] 、および [Attack Trend] セクションで、グラフの下にある [Total API Assets] や [Active API] などの凡例項目をクリックして、データをフィルタリングし、関心のあるデータを表示できます。
[危険なサイトの統計] 、[攻撃されたサイトの統計] 、[要求の機密データ型の統計] 、および [応答の機密データ型の統計] セクションでは、データを昇順または降順に並べ替えることができます。
リスク検出に関する詳細情報を表示するには、[危険なサイトの統計] セクションの右上隅にある [詳細] をクリックして、関連するタブに移動します。セクションの番号をクリックして、関連するタブに移動し、フィルター条件を満たす詳細データを表示することもできます。
セキュリティイベントに関する詳細情報を表示するには、[攻撃されたサイトの統計] セクションの右上隅にある [詳細] をクリックして、関連するタブに移動します。セクションの番号をクリックして、関連するタブに移動し、フィルター条件を満たす詳細データを表示することもできます。
アセット管理の詳細を表示するには、[リクエストの機密データ型の統計] または [応答の機密データ型の統計] セクションの右上隅にある [詳細] をクリックします。セクションの番号をクリックして、関連するタブに移動し、フィルター条件を満たす詳細データを表示することもできます。

よくある質問

CloudMonitorを使用して、APIセキュリティイベントのモニタリングとアラートを設定できます。これにより、リスクの高いイベントが検出されたときにWAFがアラート通知を送信できるようになり、APIアセットのステータスを監視するのに役立ちます。詳細については、「CloudMonitor通知の設定」をご参照ください。

APIセキュリティモジュールによって分類されるAPI呼び出しの目的は何ですか?

APIセキュリティモジュールは、ログオンAPI、登録API、テキストメッセージ送信APIなど、さまざまな機能のAPIを識別できるように、目的ごとにAPIを分類します。これにより、APIを目的通りに管理でき、さまざまなシナリオでのセキュリティリスクとイベントの検出をサポートします。たとえば、アカウントに対するブルートフォース攻撃のリスクを検出する場合は、ログオンAPIを特定する必要があります。 APIセキュリティモジュールでは、APIのカスタム目的を指定し、複数の目的を選択して関連するAPIを表示することもできます。 APIの目的は、APIパスの特性とAPI呼び出しで使用されるパラメーター名を一致させることによって識別されます。次の表に、APIセキュリティモジュールでサポートされている組み込みの目的を示します。

目的

アカウントのパスワードベースのログイン

モバイル検証コードベースのログオン

メール検証コードベースのログオン

WeChatログオン

Alipayログオン

OAuth認証

OIDC認証

SAML認証

SSO認証

ログイン

ログオフ

アカウントのパスワードベースの登録

モバイル検証コードベースの登録

メール検証コードベースの登録

WeChat登録

アリペイ登録

登録サービス

短いメッセージ送信

メール送信

パスワードリセット

検証コードの検証

ステータスチェック

注文クエリ

注文エクスポート

注文の更新

注文支払い

ログクエリ

ログレポート

ログのエクスポート

Log Service

GraphQL

SQLサービス

ファイルのアップロード

ファイルダウンロード

ファイルサービス

バックグラウンド管理

ダッシュボード

モニタリングサービス

情報送信

データチェック

データクエリ

データのアップロード

データダウンロード

データ追加

データ変更

データ更新

データ共有

データ削除

データ同期

データ送信

データコピー

データ監査

データ保存

キャンセル

開始

バッチ処理

サスペンション

追加

デバッグ

設定

閉じる

サービスを提供するためにAPIが呼び出されるオブジェクトは何ですか?
APIセキュリティモジュールでは、サービスオブジェクトごとにAPIを表示できます。たとえば、APIが内部サービスを対象としているのか、外部サービスを対象としているのかを区別できます。サービスオブジェクトは、APIの命名規則およびアクセスソース集中の分析に基づいて識別される。 APIは、次のサービスオブジェクトにサービスを提供するために呼び出されます。
- 社内オフィス: APIは、社内従業員にサービスを提供するために呼び出されます。
- サードパーティパートナーとの協力: APIは、サードパーティのエコシステムパートナーにサービスを提供するために呼び出されます。
- パブリックサービス: APIは、インターネット接続サービスを提供するために呼び出されます。

APIセキュリティモジュールで検出できる機密データの種類は何ですか?

検出モデルは、API呼び出しの要求および応答内容からさまざまなタイプの機密データを検出します。データ感度は、昇順にS1、S2、S3、S4に分類することができる。感度レベルは、データセキュリティセンター (DSC) のプラクティスに準拠しています。

次の表に、機密データの種類、機密レベル、およびデータカテゴリを示します。

機密データ型	感度レベル	カテゴリ
IDカード番号 (中国本土)	S3	個人情報および個人の機密情報
デビットカード番号	S3	個人情報および個人の機密情報
簡体字中国語での名前	S2	個人情報
住所 (中国本土)	S2	個人情報
携帯電話番号 (中国本土)	S2	個人情報
Email address	S2	個人情報
パスポート番号 (中国本土)	S3	個人情報および個人の機密情報
香港とマカオを行き来するための出入国許可証の許可番号	S3	個人情報および個人の機密情報
ナンバープレート番号 (中国本土)	S2	個人情報
電話番号 (中国本土)	S2	個人情報
軍役員カードID	S3	個人情報および個人の機密情報
ジェンダー	S2	個人情報
民族性	S2	個人情報
省 (中国本土)	S1	/
市 (中国本土)	S1	/
IDカード番号 (中国香港)	S3	個人情報および個人の機密情報
繁体字中国語の名前	S2	個人情報
英語での名前	S2	個人情報
IDカード番号 (マレーシア)	S3	個人情報および個人の機密情報
IDカード番号 (シンガポール)	S3	個人情報および個人の機密情報
クレジットカード番号ローン銀行カード	S3	個人情報および個人の機密情報
SwiftCode SWIFTコード	S1	/
SSN	S3	個人情報および個人の機密情報
電話番号 (米国)	S2	個人情報
宗教	S3	個人情報および個人の機密情報
IP アドレス	S2	個人情報
MAC アドレス	S2	個人情報
Java Database Connectivity (JDBC) 接続文字列	S3	個人情報および個人の機密情報
プライバシー強化メール (PEM) 証明書	S2	個人情報および個人の機密情報
秘密鍵	S3	個人情報および個人の機密情報
AccessKey ID	S3	個人情報および個人の機密情報
AccessKey Secret	S3	個人情報および個人の機密情報
IPv6アドレス	S2	個人情報
日付	S1	/
IMEI	S2	個人情報
MEID	S2	個人情報
Linux-Passwdファイル	S3	/
Linux-Shadowファイル	S3	/
URL	S1	/
ビジネスライセンス番号	S1	/
税務登録証明書番号	S1	/
組織コード	S1	/
統一社会的信用コード	S1	/
車両識別番号	S2	/

APIセキュリティモジュールの機密レベルは何ですか?
APIの感度レベルは、高感度、中感度、低感度、および非感度に分類される。次のリストに、API機密レベルを分類するためのルールを示します。
- 高感度: APIのレスポンスには、S3レベル以上のデータ型が含まれているか、S2-levelのデータ型の20を超える機密データエントリが同時に返されます。
- 中程度の感度: APIのレスポンスには、S2レベルのデータ型が含まれます。
- 低感度: APIのレスポンスには、S1レベルのデータ型が含まれています。
- 非機密: APIのレスポンスに機密データが含まれていません。

APIセキュリティモジュールで検出できるAPIリスクの種類は何ですか?

カテゴリ	リスクタイプ	リスクレベル	リスクの説明	提案
セキュリティと仕様	安全でないHTTPメソッド	低い	APIリスク検出モデルは、APIが安全でないHTTPメソッドを使用していることを検出します。攻撃者は、このような方法を使用してサーバー情報を検出したり、サーバーデータを直接操作します。たとえば、攻撃者は、PUTメソッドを使用して悪意のあるファイルをアップロードし、DELETEメソッドを使用してサーバーリソースを削除する場合があります。	ビジネス要件に基づいてAPIを変換し、PUT、DELETE、TRACE、OPTIONSなどの安全でないHTTPメソッドを無効にすることを推奨します。
	JWT弱い署名アルゴリズム	低い	APIリスク検出モデルは、APIがJSON Webトークン (JWT) に弱い署名アルゴリズムを使用していることを検出します。	RS256などの安全な署名アルゴリズムを使用して、送信および保存中のキーの強度とセキュリティを確保することを推奨します。
	URLとしてのパラメーター	低い	APIリスク検出モデルは、APIのリクエストパラメータがURLリンクに設定されていることを検出します。サーバー側の要求偽造 (SSRF) 攻撃などの攻撃が発生する可能性があります。	ユーザー制御URLがパラメーターで直接使用されないように、ビジネス要件に基づいてAPIを変換することをお勧めします。パラメーターの内容を厳密に制限し、無効な文字を除外する必要があります。
アカウントのセキュリティ	パスワード平文送信	低い	APIリスク検出モデルは、アカウントパスワードが平文で送信されていることを検出します。攻撃者は、盗聴や同様の戦術を使用して、送信中にユーザーの資格情報を傍受して盗むことができます。これにより、アカウントの盗難が発生する可能性があります。	攻撃者からの傍受や盗難を防ぐため、送信前にパスワードフィールドを暗号化またはハッシュすることを推奨します。
	弱いパスワード公差	低い	APIリスク検出モデルは、ログオンAPIのパスワードが弱いことを検出します。攻撃者は、アカウントを盗むためにブルートフォース攻撃を実行する可能性があります。	パスワードの強度を高めることを推奨します。パスワードの長さは8文字以上で、大文字、小文字、数字、特殊文字のうち3文字以上を使用する必要があります。また、パスワードが弱いユーザーに、できるだけ早い機会にパスワードを変更するように通知することをお勧めします。
	内部アプリケーションの弱いパスワード脆弱性	高い	APIリスク検出モデルは、内部アプリケーションのログオンAPIで弱いパスワードが使用されていることを検出します。攻撃者は、ブルートフォース攻撃を使用してアカウントを盗みます。	パスワードの強度を高めることを推奨します。パスワードの長さは8文字以上で、大文字、小文字、数字、特殊文字のうち3文字以上を使用する必要があります。また、パスワードが弱いユーザーに、できるだけ早い機会にパスワードを変更するように通知することをお勧めします。
	デフォルトパスワードの存在	中	APIリスク検出モデルは、APIに関連付けられたアプリケーションでデフォルトパスワードが使用されていることを検出します。攻撃者は、デフォルトのパスワードを使用して、パスワードが変更されていないアカウントにアクセスできます。	デフォルトパスワードを使用するアプリケーションのユーザーに、初回ログイン時にデフォルトパスワードの変更を通知することを推奨します。まだデフォルトのパスワードを使用している既存のアカウントのユーザーの場合は、できるだけ早い機会にパスワードを変更するようにユーザーに通知することをお勧めします。
	平文パスワードの返却	低い	APIリスク検出モデルは、APIの応答に平文パスワードが含まれていることを検出します。攻撃者は、盗聴や同様の戦術を使用して、送信中にユーザーの資格情報を傍受して盗むことができます。これにより、アカウントの盗難が発生する可能性があります。	APIが平文のパスワード情報を返さないように、ビジネス要件に基づいてAPIを変換することをお勧めします。
	Cookieでのパスワード保存	低い	APIリスク検出モデルは、APIのcookieにアカウントパスワード情報が格納されていることを検出します。	アカウントやシークレットなどの重要で機密性の高い情報がCookieに保存されないように、ビジネス要件に基づいてAPIを変換することをお勧めします。
	无制限ログオン	中	APIリスク検出モデルは、CAPTCHAメカニズムが提供されていないことを検出します。攻撃者はこの脆弱性を悪用して、アカウントパスワードに対して無制限のブルートフォース攻撃を実行できます。	特に複数のログオン障害が発生した場合は、CAPTCHA対策を実装することを推奨します。 CAPTCHA検証を有効にして、ブルートフォース攻撃を防ぐことができます。
	不当なログオン失敗プロンプト	低い	APIリスク検出モデルは、ログオン失敗メッセージがアカウントの存在に関する情報を明らかにする可能性があることを検出します。攻撃者は、メッセージを悪用して既存のアカウントを列挙し、攻撃を開始したり、ユーザー登録量などのビジネスクリティカルなデータを取得したりできます。	ログインに失敗したときに、アカウント登録情報を開示する「ユーザー名が存在しません」などのメッセージではなく、「ユーザー名またはパスワードが無効」などのメッセージを表示するようにシステムを構成することをお勧めします。
	URLベースのアカウントパスワード送信	中	APIリスク検出モデルは、アカウントパスワードがURLを使用して平文で送信されることを検出します。 URLへの不正アクセスにより、資格情報が漏洩する可能性があります。 URLは、ログ、リファラー、またはブラウザー履歴データに公開される場合があります。	リクエスト本文の機密データを転送するには、POSTメソッドを使用することを推奨します。
アクセス制御	インターネットからアクセス可能な内部アプリケーション	低い	APIリスク検出モデルは、APIが内部アプリケーションによって使用され、インターネット経由でアクセスできることを検出し、アクセス制限は実装されていません。インターネットにさらされている内部アプリケーションは、攻撃者によって悪意を持って悪用または攻撃される可能性があります。	アクセス制御ポリシーを設定することを推奨します。たとえば、IPアドレスホワイトリストを設定して、アクセスソースを制限できます。
	無制限のアクセスソース	低い	APIリスク検出モデルは、APIの一部のアクセスソースがベースライン要件を満たしていないことを検出します。アクセスソースは、IPアドレスまたはリージョンです。	アクセス制御ポリシーを設定することを推奨します。たとえば、IPアドレスブラックリストまたはIPアドレスホワイトリスト、またはリージョンブラックリストを設定して、アクセスソースを制限できます。
	無制限アクセスツール	低い	APIリスク検出モデルは、APIへのアクセスに使用されるクライアントがベースライン要件を満たしていないことを検出します。	クライアントによるアクセスを制限するようにアクセス制御ポリシーを設定することを推奨します。これにより、攻撃者が悪意のあるクライアントを使用してAPIやクロールデータを攻撃するのを防ぎます。
	無制限アクセスレート	低い	APIリスク検出モデルは、高い頻度でAPIにアクセスするために単一のIPアドレスが使用されることを検出する。この場合、アクセス制御ポリシーを設定して、高頻度アクセスを制限し、APIへの不正な呼び出しを防ぐことができます。	高頻度アクセスを制限するようにアクセス制御ポリシーを設定することを推奨します。
権限管理	弱い認証資格	中	APIリスク検出モデルは、APIの認証資格情報が十分なランダム性を有していないことを検出し、したがって、ブルートフォース攻撃をAPIに対して容易に実行することができる。これは、APIの無許可または特権エスカレートされた利用をもたらす可能性がある。	認証資格情報のランダム性を強化して、資格情報の長さが過度に短くなったり、明らかなフォーマットパターンがないようにすることをお勧めします。
	機密APIへの未認証アクセス	高い	APIリスク検出モデルは、APIに機密性の高いデータが含まれており、そのデータに許可なくアクセスできることを検出します。これにより、機密データが漏洩する可能性があります。	APIの不正または特権エスカレートによる悪用を防ぐために、厳格で完全な認証メカニズムを追加することをお勧めします。
	内部APIへの不正アクセス	高い	APIリスク検出モデルは、APIが内部アプリケーションによって使用され、許可なくアクセスできることを検出します。これにより、内部アプリケーションの不正使用や内部データリークが発生する可能性があります。	APIの不正または特権エスカレートによる悪用を防ぐために、厳格で完全な認証メカニズムを追加することをお勧めします。
	URLベースの資格情報送信	中	APIリスク検出モデルは、URLを使用して認証資格情報が送信されたことを検出します。 URLへの不正アクセスは、許可の誤用のリスクをもたらす可能性があります。 URLは、ログ、リファラー、またはブラウザー履歴データに公開される場合があります。	カスタムヘッダー、Cookie、本文など、他の方法を使用して認証資格情報を渡すことを推奨します。
	AccessKeyペア情報リーク	高い	APIリスク検出モデルは、AccessKey IDとAccessKeyシークレットが返されたことを検出します。	AccessKeyペア情報が返されないように、ビジネス要件に基づいてAPIを変換することを推奨します。リークされたAccessKeyペアは無効または削除する必要があります。
データ保護	応答における機密データの過剰なタイプ	中	APIリスク検出モデルは、APIの応答に過度に多数の機密データ型が含まれていることを検出します。これは、データの不必要な露出をもたらす可能性があり、データリークにつながる可能性があります。	ビジネス要件に基づいてすべてのデータ型を返す必要性を確認し、重要な機密データをマスクし、不要なデータ型を削除することを推奨します。
	応答における過度の機密データ	中	APIリスク検出モデルは、APIの応答に機密データが含まれており、返されるデータの量が制限されていないことを検出します。これは、実質的なデータ漏洩につながり得る。	攻撃者がAPIを使用して大量の機密データを取得できないように、ビジネス要件に基づいて一度に返されるデータ量を制限することをお勧めします。
	不十分なデータの特定	中	APIリスク検出モデルは、APIの応答に元のバージョンとマスクされたバージョンのデータが同時に含まれていることを検出します。	サンプルデータに基づいてリスクを特定することを推奨します。マスクされたデータの場合は、データが平文で公開されないように対策を講じます。
	機密サーバー情報の漏洩	高い	APIリスク検出モデルは、APIの応答にサーバーに関する機密情報が含まれていることを検出します。攻撃者は、機密情報を使用してサーバーを攻撃し、制御権限を取得できます。	サンプルデータに基づいてトラブルシューティングを実行し、データが期待どおりに返されるかどうかを確認することを推奨します。データをフロントエンドに直接返さないようにしてください。
	内部IPアドレスリーク	中	APIリスク検出モデルは、APIの応答が内部IPアドレスを含む可能性があることを検出します。攻撃者はIPアドレスを使用して内部アプリケーションを攻撃する可能性があります。	内部ネットワーク情報の漏洩を防ぐために、ビジネス要件に基づいてAPIを変換することを推奨します。
	URLベースの機密データ伝送	中	APIリスク検出モデルは、機密性の高いデータがURLを使用して送信されることを検出します。 URLへの不正アクセスにより、機密データが漏洩する可能性があります。 URLは、ログ、リファラー、またはブラウザー履歴データに公開される場合があります。	リクエスト本文で機密データを転送するには、POSTメソッドを使用することを推奨します。
APIデザイン	要求パラメータのトラバーサビリティ	低い	APIリスク検出モデルは、リクエストパラメータの形式が固定されており、簡単に構築できることを検出します。攻撃者はこの脆弱性を悪用してパラメータ値を列挙し、データを一括抽出する可能性があります。	ビジネス要件に基づいてパラメーターのランダム性を高めることを推奨します。これは、簡単に妥協することができる短い数値などの単純で予測可能な値への依存を防ぐのに役立ちます。
	返されるデータの量を変更可能	低い	APIリスク検出モデルは、要求パラメータが返されるアイテムの数を指定するために使用され、任意の値に変更できることを検出します。攻撃者はこの脆弱性を悪用して、1回の要求で大量のデータを取得できます。	ビジネス要件に基づいてパラメーター値の制限を実装し、いくつかのオプション値のみを提供することを推奨します。これは、APIが大量のデータを取得するために悪意を持って悪用されるのを防ぐのに役立ちます。
	データベースクエリ	高い	APIリスク検出モデルは、リクエストパラメータにクエリステートメントが含まれていることを検出します。攻撃者はAPIを悪用して任意のデータベース操作を実行し、データベースを攻撃したり、重要なデータを盗みます。	データベースクエリ文が渡されないように、ビジネス要件に基づいてAPIを変換することをお勧めします。パラメーターの内容を厳密に制限し、無効な文字を除外する必要があります。
	コマンド実行API	高い	APIリスク検出モデルは、要求パラメータにコマンド実行ステートメントが含まれていることを検出します。攻撃者はAPIを悪用して任意のシステムコマンドを実行し、サーバーを制御したり、重要なデータを盗みます。	コマンドステートメントが渡されないように、ビジネス要件に基づいてAPIを変換することをお勧めします。パラメーターの内容を厳密に制限し、無効な文字を除外する必要があります。
	任意の短いメッセージ送信	中	APIリスク検出モデルは、ショートメッセージ送信APIの要求パラメータが、送信される電話番号および疑わしいテキストメッセージコンテンツを含むことを検出する。攻撃者はAPIを悪用して、特定の電話番号に悪意のあるテキストメッセージを送信する可能性があります。	ビジネス要件に基づいてAPIを変換し、固定テンプレートを使用して送信するコンテンツを構成することを推奨します。
	任意のメールコンテンツの送信	中	APIリスク検出モデルは、電子メール送信APIのリクエストパラメータに電子メールアドレスと送信される疑いのある電子メールコンテンツが含まれていることを検出します。攻撃者はAPIを悪用して、特定のアドレスに悪意のあるメールを送信できます。	ビジネス要件に基づいてAPIを変換し、固定テンプレートを使用して送信するコンテンツを構成することを推奨します。
	ショートメッセージ検証コードの漏洩	高い	APIリスク検出モデルは、テキストメッセージ送信APIの応答パラメータが検証コードを含む可能性があることを検出する。攻撃者はAPIを使用して検証コードを取得し、テキストメッセージ検証メカニズムをバイパスできます。	検証コードがフロントエンドに返されないように、ビジネス要件に基づいてAPIを変換することをお勧めします。コードはバックエンドで検証する必要があります。
	メール検証コードリーク	高い	APIリスク検出モデルは、電子メール送信APIの応答パラメータに検証コードが含まれている可能性があることを検出します。攻撃者はAPIを使用して検証コードを取得し、電子メール検証メカニズムをバイパスできます。	検証コードがフロントエンドに返されないように、ビジネス要件に基づいてAPIを変換することをお勧めします。コードはバックエンドで検証する必要があります。
	指定したファイルのダウンロード	中	APIリスク検出モデルは、ファイルダウンロードAPIのリクエストパラメータにファイルパスが含まれていることを検出します。攻撃者は、パラメータを変更してファイルをダウンロードし、重要なデータを盗みます。	完全なファイルパスからファイルが直接ダウンロードされないように、ビジネス要件に基づいてAPIを変換することをお勧めします。攻撃者がAPIを使用して任意のファイルをダウンロードしないように、パラメーターの内容を厳密に制限し、無効な文字を除外する必要があります。
	アプリケーション例外情報リーク	中	APIリスク検出モデルは、APIの応答にアプリケーション例外情報が含まれていることを検出します。攻撃者は、返された例外情報からサーバーアプリケーション設定などの機密情報を取得する場合があります。	サービス例外処理メカニズムを最適化することを推奨します。例外が発生すると、指定されたコンテンツが返されるか、指定されたページにリダイレクトされます。これにより、例外情報の直接返信によるアプリケーション情報の漏洩を防止することができる。
	データベース例外情報リーク	中	APIリスク検出モデルは、APIの応答にデータベース例外情報が含まれていることを検出します。攻撃者は、データベース例外情報を使用して、SQL文、データベース名、テーブル名などの情報を取得し、SQLインジェクションなどの攻撃を開始できます。	サービス例外処理メカニズムを最適化することを推奨します。例外が発生すると、指定されたコンテンツが返されるか、指定されたページにリダイレクトされます。これにより、例外情報が直接返されることによるデータベース情報の漏洩が防止される。
Custom	カスタムリスク検出ルール	カスタムレベル	APIリスク検出モデルは、APIがカスタムリスク検出ルールをトリガーすることを検出します。	ポリシーに対して指定した設定が表示されます。

APIセキュリティモジュールで検出できる例外イベントの種類は何ですか。

カテゴリ	イベントタイプ	イベントの説明	提案
ベースライン例外	異常な高周波アクセス	APIは頻繁に呼び出されます。リクエストレートは、リクエスト頻度の1日の分布ベースラインよりも高くなります。 APIの悪用やHTTPフラッド攻撃などの悪意のあるアクティビティが発生する可能性があります。	ログの詳細に基づいてトラブルシューティングを実行することを推奨します。悪意のあるIPアドレスをブロックするようにIPアドレスブラックリストを設定できます。また、APIリソースの合理的な使用を確保するために、リクエスト頻度の毎日の分布ベースラインに基づいてレート制限ポリシーを設定することもできます。
	異常なIPアドレスからの内部APIへのアクセス	APIは、IPアドレスの毎日の分布ベースラインから逸脱したIPアドレスから呼び出されます。異常な呼び出しが発生する可能性があります。	ログの詳細に基づいてトラブルシューティングを実行することを推奨します。悪意のあるIPアドレスをブロックするようにIPアドレスブラックリストを設定できます。また、IPアドレスの毎日の配布ベースラインに基づいてIPアドレスホワイトリストを設定して、ホワイトリストに含まれていないIPアドレスからのアクセスをブロックし、APIリソースの合理的な使用を確保することをお勧めします。
	異常な場所からの内部APIへのアクセス	APIは、IPアドレスの場所の毎日の分布ベースラインから逸脱したIPアドレスの場所から呼び出されます。異常な呼び出しが発生する可能性があります。	ログの詳細に基づいてトラブルシューティングを実行することを推奨します。悪意のあるIPアドレスをブロックするようにIPアドレスブラックリストを設定できます。また、APIリソースの合理的な使用を確保するために、IPアドレスの場所の毎日の配布ベースラインに基づいてリージョンブラックリストを設定することをお勧めします。
	異常ツールを使用したアクセス	APIは、クライアントの毎日の配布ベースラインから逸脱したクライアントからアクセスされます。異常な呼び出しが発生する可能性があります。	ログの詳細に基づいてトラブルシューティングを実行することを推奨します。悪意のあるIPアドレスをブロックするようにIPアドレスブラックリストを設定できます。また、クライアントの毎日の配布ベースラインに基づいてアクセス制御ポリシーを構成するか、ボット管理モジュールを有効にしてAPIリソースを合理的に使用することをお勧めします。
	異常な期間中のアクセス	APIは、異常な期間中に呼び出されます。異常な呼び出しが発生する可能性があります。	ログの詳細に基づいてトラブルシューティングを実行することを推奨します。悪意のあるIPアドレスをブロックするようにIPアドレスブラックリストを設定できます。
	異常なパラメータ値を使用したアクセス	リクエストパラメータの形式は、通常のパターンから逸脱しています。異常な呼び出しまたは攻撃が発生する可能性があります。	サンプルデータとログの詳細に基づいてトラブルシューティングを実行することを推奨します。悪意のあるIPアドレスをブロックするようにIPアドレスブラックリストを設定できます。 web攻撃が確認された場合は、APIリソースを合理的に使用するために、WAFの保護モジュールを使用することを推奨します。
アカウントリスク	内部アプリケーションへの弱いパスワードベースのログオン	IPアドレスから内部アプリケーションへのログオンは、弱いパスワードを使用している疑いがあります。	ログの詳細に基づいて、ログインが成功したかどうかを確認することを推奨します。パスワードの強度を高めることを推奨します。パスワードの長さは8文字以上で、大文字、小文字、数字、特殊文字のうち3文字以上を使用する必要があります。また、パスワードが弱いユーザーに、できるだけ早い機会にパスワードを変更するように通知することをお勧めします。
	ユーザー名に対するブルートフォース攻撃	頻繁なログオン試行は、同じIPアドレスから開始されます。一貫したパスワードと常に変化するユーザー名が使用されます。ユーザー名に対するブルートフォース攻撃が発生する可能性があります。	ログの詳細に基づいてログインが成功したかどうかを確認し、定期的にパスワードを変更し、弱いパスワードが使用されないようにすることをお勧めします。また、CAPTCHA対策を実装してログイン試行回数を制限するか、レート制限ポリシーを設定してAPIリソースを合理的に使用することをお勧めします。
	パスワードに対するブルートフォース攻撃	頻繁なログオン試行は、同じIPアドレスから開始されます。一貫したユーザー名と常に変化するパスワードが使用されます。パスワードに対するブルートフォース攻撃が発生する可能性があります。	ログの詳細に基づいてログインが成功したかどうかを確認し、定期的にパスワードを変更し、弱いパスワードが使用されないようにすることをお勧めします。また、CAPTCHA対策を実装してログイン試行回数を制限するか、レート制限ポリシーを設定してAPIリソースを合理的に使用することをお勧めします。
	辞書攻撃	頻繁なログオン試行は同じIPアドレスから開始され、多数のアカウントが使用されます。辞書攻撃が発生する可能性があります。	ログの詳細に基づいてログインが成功したかどうかを確認し、定期的にパスワードを変更し、弱いパスワードが使用されないようにすることをお勧めします。また、CAPTCHA対策を実装してログイン試行回数を制限するか、レート制限ポリシーを設定してAPIリソースを合理的に使用することをお勧めします。
	短いメッセージ検証コードに対するブルートフォース攻撃	テキストメッセージ検証コードを検証するために、同じIPアドレスから頻繁に試行されます。多数の検証コードが使用される。テキストメッセージ検証コードに対するブルートフォース攻撃が発生する可能性があります。	ログの詳細に基づいてトラブルシューティングを実行することを推奨します。悪意のあるIPアドレスをブロックするようにIPアドレスブラックリストを設定できます。また、APIリソースの合理的な使用を確保するために、リクエスト頻度の毎日の分布ベースラインに基づいてレート制限ポリシーを設定することもできます。
	電子メール検証コードに対するブルートフォース攻撃	電子メール検証コードを検証するために、同じIPアドレスから頻繁に試行が開始され、多数の検証コードが使用されます。電子メール確認コードに対するブルートフォース攻撃が発生する可能性があります。	ログの詳細に基づいてトラブルシューティングを実行することを推奨します。悪意のあるIPアドレスをブロックするようにIPアドレスブラックリストを設定できます。また、APIリソースの合理的な使用を確保するために、リクエスト頻度の毎日の分布ベースラインに基づいてレート制限ポリシーを設定することもできます。
	バッチ登録	同じIPアドレスから多数の登録要求が送信されます。バルクアカウント登録が発生する可能性があり、多数のスパムアカウントが生成される可能性があります。	ログの詳細に基づいてトラブルシューティングを実行することを推奨します。悪意のあるIPアドレスをブロックするようにIPアドレスブラックリストを設定できます。また、APIリソースの合理的な使用を確保するために、リクエスト頻度の毎日の分布ベースラインに基づいてレート制限ポリシーを設定することもできます。
APIの乱用	短いメッセージリソースの悪意のある消費	多数のメッセージ送信リクエストが同じIPアドレスから送信されます。テキストメッセージのリソースの悪用またはメッセージのフラッディングが発生する可能性があります。これはビジネスの損失につながる可能性があります。	ログの詳細に基づいてトラブルシューティングを実行することを推奨します。悪意のあるIPアドレスをブロックするようにIPアドレスブラックリストを設定できます。また、単一の携帯電話番号から送信されるテキストメッセージの頻度を制限し、APIリソースの合理的な使用を確保するために、リクエスト頻度の毎日の分布ベースラインに基づいてレート制限ポリシーを設定することをお勧めします。
	メールリソースの悪意のある消費	同じIPアドレスから多数のメール送信リクエストが送信されます。メールリソースの悪用やメールのフラッディングが発生する可能性があります。これは、電子メールサービスの安定性を損なう可能性があります。	ログの詳細に基づいてトラブルシューティングを実行することを推奨します。悪意のあるIPアドレスをブロックするようにIPアドレスブラックリストを設定できます。また、APIリソースの合理的な使用を確保するために、単一のメールアドレスから送信されるメールの頻度を制限し、リクエスト頻度の毎日の分布ベースラインに基づいてレート制限ポリシーを設定することをお勧めします。
	バッチダウンロード	IPアドレスから大量のデータのエクスポートまたはダウンロード要求が送信され、大量のファイルデータがエクスポートまたはダウンロードされます。データリークが発生する可能性があります。	ログの詳細に基づいてトラブルシューティングを実行することを推奨します。悪意のあるIPアドレスをブロックするようにIPアドレスブラックリストを設定できます。また、APIリソースの合理的な使用を確保するために、リクエスト頻度の毎日の分布ベースラインに基づいてレート制限ポリシーを設定することもできます。
	データのクロール	APIは同じIPアドレスから頻繁に呼び出され、パラメーターのトラバーサルが疑われます。データのクロールが発生する可能性があります。	ログの詳細に基づいてトラブルシューティングを実行することを推奨します。悪意のあるIPアドレスをブロックするようにIPアドレスブラックリストを設定できます。ビジネス要件に基づいてパラメーターのランダム性を高めることを推奨します。これは、簡単に妥協することができる短い数値などの単純で予測可能な値への依存を防ぐのに役立ちます。
	API攻撃	Web攻撃はIPアドレスから開始され、すべての攻撃は保護モジュールによってブロックされます。	ログの詳細に基づいてIPアドレスの動作を分析することを推奨します。悪意のあるIPアドレスをブロックするようにIPアドレスブラックリストを設定できます。
機密データリーク	機密データへの不正アクセス	IPアドレスからAPIが呼び出され、不正アクセスが疑われ、機密データが取得されます。データ漏えいリスクが発生する可能性があります。	ログの詳細に基づいて問題のトラブルシューティングを行うことを推奨します。また、重要なAPIに対して厳密で完全な認証メカニズムを実装して、APIの不正な悪用や特権がエスカレートする悪用を防ぐことをお勧めします。
	Mass Sensitiveデータアクセス	IPアドレスからAPIが呼び出されると、機密データの多数のエントリが取得されます。データ漏えいリスクが発生する可能性があります。	ログの詳細に基づいて問題のトラブルシューティングを行うことを推奨します。重要な機密データをマスクし、不要なデータ型を削除することも推奨します。リクエスト頻度の毎日の分布ベースラインに基づいてレート制限ポリシーを設定することもできます。
	中国国外のIPアドレスによる大量機密データアクセス	APIは、中国本土以外のリージョンから発信されたIPアドレスから呼び出され、機密データの多数のエントリが取得されます。データ漏えいやコンプライアンスのリスクが発生する可能性があります。	ログの詳細に基づいて問題のトラブルシューティングを行うことを推奨します。機密データの国境を越えた送信は、コンプライアンス・リスクをもたらす可能性がある。機密データの国境を越えた送信が必要な場合は、評価を実施し、迅速にセキュリティ評価または提出を進めることを推奨します。
応答の例外	エラーメッセージの戻り	IPアドレスからAPIを呼び出すと、エラーメッセージが返されたり、アプリケーション設定などの情報が漏洩したりすることがあります。	ログの詳細に基づいてトラブルシューティングを実行し、APIが期待どおりに実行されるかどうかを確認することを推奨します。また、サービス例外処理メカニズムを最適化することをお勧めします。例外が発生すると、指定されたコンテンツが返されるか、指定されたページにリダイレクトされます。これにより、例外情報の直接返信によるアプリケーション情報の漏洩を防止することができる。
	データベースエラーメッセージの返却	IPアドレスからAPIを呼び出すと、データベースのエラーメッセージが返され、ステートメント、データベース名、テーブル名などの情報が漏洩する可能性があります。	ログの詳細に基づいてトラブルシューティングを実行し、APIが期待どおりに実行されるかどうかを確認することを推奨します。また、サービス例外処理メカニズムを最適化することをお勧めします。例外が発生すると、指定されたコンテンツが返されるか、指定されたページにリダイレクトされます。これにより、例外情報が直接返されることによるデータベース情報の漏洩が防止される。
	機密システム情報の返却	IPアドレスからAPIが呼び出されると、サーバーに関する重要な機密情報が返される場合があります。データ漏えいリスクが発生する可能性があります。	ログの詳細に基づいてトラブルシューティングを実行し、データが期待どおりに返されるかどうかを確認することを推奨します。データをフロントエンドに直接返さないようにしてください。
	異常な反応	IPアドレスからAPIを呼び出すと、異常応答の割合が80% を超えます。オリジンサーバーが期待どおりに実行されない場合があります。	ログの詳細に基づいてトラブルシューティングを実行し、APIが期待どおりに実行されるかどうかを確認することを推奨します。
カスタムイベント	カスタムイベント検出ポリシー	IPアドレスからAPIが呼び出されると、アクセス動作はカスタムイベント検出ポリシーと一致します。	ポリシーに対して指定した設定が表示されます。

APIセキュリティモジュールは、企業がデータリークのリスクを減らすのにどのように役立ちますか?

APIセキュリティモジュールは、APIの脆弱性を検出し、API例外イベントを追跡し、脆弱性の処理方法に関する提案を提供します。

リスクタイプ	説明
APIの脆弱性	企業は、内部オフィスワーク、開発テスト、および運用管理に使用されるAPIなどの内部APIをインターネットに公開することができる。この公開により、攻撃者はAPIを使用して機密データにアクセスして取得できます。
API例外イベント	APIは、事前定義されたビジネス要件およびアクセスシナリオでは期待どおりに機能しません。

国境を越えたデータ転送のセキュリティ評価とファイリングの申請基準は何ですか? (中国本土でのみサポート)

次の表に、アウトバウンドデータ転送のセキュリティ評価の基準に基づいた適用基準を示します。

評価タイプ	評価結果
昨年の1月1日以降、個人情報が海外に移転された自然人の累積数は100,000人を超えています。	セキュリティ評価を申請するための要件が満たされています。
昨年の1月1日以降、個人の機密情報が海外に転送された自然人の累積数は10,000人を超えています。
昨年1月1日以降、国境を越えたデータ転送活動が行われ、個人情報を海外に転送する自然人の累積数は1,000,000人を超えています。
昨年の1月1日以降、個人情報が海外に移転された自然人の累積数は100,000人未満です。	セキュリティアセスメントを申請するための要件は満たされていません。
昨年の1月1日以降、個人の機密情報が海外に転送された自然人の累積数は10,000人未満です。
昨年1月1日以降、国境を越えたデータ転送活動が行われ、個人情報を海外に転送する自然人の累積数は1,000,000人未満です。