OWASP API 2023 Dashboard¶

OWASP API Security Top 10は、APIにおけるセキュリティリスクの評価に関するゴールドスタンダードです。これらのAPI脅威に対するAPIのセキュリティ体制を測定できるよう、Wallarmは脅威軽減に関する可視性と指標を明確に提供するDashboardを提供しています。

OWASP API Security Top 10 2023を網羅しており、Dashboardによって全体的なセキュリティ状態を評価し、特定された問題に対処するためのセキュリティコントロールを積極的に実装できます。

脅威評価¶

Wallarmは、適用されているセキュリティコントロールと検出された脆弱性に基づいて、各API脅威のリスクを評価します。

赤 - セキュリティコントロールが適用されていない場合、またはAPIに高リスクのアクティブな脆弱性が存在する場合に該当します。
黄 - セキュリティコントロールの適用が一部にとどまっている場合、またはAPIに中または低リスクのアクティブな脆弱性が存在する場合に該当します。
緑 - APIが保護され、未対応の脆弱性が存在しないことを示します。

OWASP API 2023向けWallarmのセキュリティコントロール¶

Wallarmセキュリティプラットフォームは、次のセキュリティコントロールにより、OWASP API Security Top 10 2023に対して包括的な保護を提供します。

OWASP API Top 10 2023の脅威	Wallarmのセキュリティコントロール
API1:2023 オブジェクトレベル認可の不備	BOLAの自動軽減により、脆弱なエンドポイントを保護するtriggerを自動的に作成します
API2:2023 認証の不備	Brute force triggerにより、認証エンドポイントを狙うブルートフォース攻撃を軽減します
API3:2023 オブジェクトプロパティレベルの認可の不備	脆弱性を検出するためにDetecting Security Issuesを有効化します BOLA triggersを使用します API Discoveryで見つかったエンドポイントに対してAutomatic BOLA protectionを適用します
API4:2023 無制限のリソース消費	Brute force triggerにより、しばしばDoSにつながりAPIが応答しなくなる、または利用不能になるブルートフォース攻撃を軽減します
API5:2023 機能レベルの認可の不備	Forced browsing triggerにより、この脅威の悪用手段でもある強制閲覧の試行を軽減します
API6:2023 機微なビジネスフローへの無制限アクセス	API Abuse Preventionにより、悪意あるボットの行動を軽減します
API7:2023 Server Side Request Forgery	脆弱性を検出するためにDetecting Security Issuesを有効化します適切なmodeで動作するFiltering nodeを使用します
API8:2023 セキュリティの設定不備	Wallarm nodeのセルフチェックにより、ノードのバージョンとセキュリティポリシーを最新に保ちます（問題への対処方法をご参照ください）
API9:2023 不適切なインベントリ管理	API Discoveryにより、実トラフィックに基づいて実際のAPIインベントリを自動発見します
API10:2023 APIの安全でない利用	脆弱性を検出するためにDetecting Security Issuesを有効化します