コンテンツにスキップ

API Attack Surface Discovery

WallarmのAPI Attack Surface ManagementAPI Attack Surface DiscoveryAASD)コンポーネントは、選択したドメインをスキャンして外部ホストとそのAPIをすべて発見し、WebおよびAPIベースの攻撃に対する保護状況を評価し、不足しているWAF/WAAPソリューションを特定します。Wallarmでサブスクライブするだけで利用でき、デプロイは不要です。本記事ではこのコンポーネントの概要を説明します。

API Attack Surface Discovery

対応する課題

提供機能

監視されていない、またはドキュメント化されていないAPIは悪意ある攻撃の侵入経路になり得るため、組織の外部APIの全リストを把握することが潜在的なセキュリティリスクを軽減する第一歩です。

API Attack Surface Discoveryコンポーネントは、次の機能を提供することでこれらの課題の解決を支援します。

  • 選択したドメインの外部ホストの自動検出。

  • 検出された各ホストの開放ポートの自動検出。

  • 検出された各ホストのAPIの自動検出。

    検出可能なAPIタイプ(プロトコル)は、JSON-API, GraphQL, XML-RPC, JSON-RPC, OData, gRPC, WebSocket, SOAP, WebDav, HTML WEBです。

    HTML WEB — ブラウザでの人による閲覧を想定したHTMLのWebページです。静的なHTMLのWebページの場合もあれば、アプリケーションの単一HTMLページであり、そのページからAPIにアクセスする場合もあります。

  • 検出されたホストのsecurity postureの自動評価。

  • APIサーフェス全体の総合WAAPスコア。

  • セキュリティベンダー、データセンター、ロケーション別のアセット集計。

    1つのホストに複数のIPアドレスが割り当てられている場合があるため、データセンターおよび地理的ロケーション別のアセット統計はホスト単位ではなくIPアドレス単位で評価します。CDNを使用している場合、アセットのロケーションは実態を正確に反映しないことがあります。

  • 検出されたホストのセキュリティ課題の自動検出。

これらはすべてWallarmで当該コンポーネントをサブスクライブするだけで利用でき、デプロイは一切不要で、分析済みデータをすぐに確認できます。

旧Scannerの置き換え

API Attack Surface Discovery(AASD)の機能は旧来のWallarm Scannerの全機能を網羅しており、Security Issuesと組み合わせることでさらに多くの価値を提供するため、2025年5月7日以降、Scannerは無効化されます。

旧Scanner

旧Scannerの無効化には次が含まれます:

  • 旧Scannerを使用していたすべてのお客様にAASDへのアクセスを提供します

  • 旧Scannerのすべての設定をAASDへ移行します(Wallarmサポートが実施します)

  • AASDによるホストとAPIの自動再検出と、それらに関する拡張データの提示

  • ホストおよびAPIに対するセキュリティ課題の自動検出

  • 2025年5月7日以前に旧Scannerが検出した脆弱性は、data retention policyに従い、引き続きVulnerabilitiesセクションに表示されます

検出されたホストのデータ

ドメインのホストが検出されると、Wallarm ConsoleでAPI Attack Surfaceセクションに移動します。リストのホストをクリックすると、次を確認できます:

  • ホストで検出された開放ポート

  • ホストで検出されたAPI

  • ホストの評価済みWAAPスコアの詳細

Security posture

Wallarmは外部ネットワーク境界のセキュリティ態勢を自動評価し、その状態を0(最低)から100(最高)の保護レベルで表すTotal scoreとして表示します。

APIサーフェス - 保護スコア

Total scoreは、以下を組み合わせた複合的な独自アルゴリズムにより算出します。

  • WAAP coverage scoreは、WAF/WAAPソリューションによる外部WebおよびAPIサービスのカバレッジを表します。WAF/WAAPで保護されているHTTP/HTTPSポートの割合として算出します。

  • Average WAAP scoreは、外部ホストのWebおよびAPI攻撃に対する耐性を表します。AASMがブロッキングモードの有効なWAAPソリューションを特定し、かつエラーなくWAAPスコアを評価できたすべてのホストの平均として算出します。

    特定エンドポイントのWAAPスコアはWallarmによるテスト結果であり、次の式で算出します:

    ((AppSec + FalsePositive) / 2 + APISec) / 2
    • AppSec - SQLインジェクション、XSS、コマンドインジェクションなどのWeb攻撃に対する耐性。
    • APISec - GraphQL、SOAP、gRPCなどのプロトコルを対象としたAPI攻撃に対する耐性。
    • FalsePositive - 正当なリクエストを脅威と誤判定せずに正確に許可できる能力。

    各ホストについて、詳細なWAAPスコア評価レポートをPDF形式でダウンロードできます。

  • 追加メトリクス(TLSカバレッジ、セキュリティ課題の有無、検出されたセキュリティ課題など)。

API Attack Surfaceレポート

選択したドメインで検出された外部ホストとそのAPIに関する詳細なDOCXレポートを取得できます。このレポートには、これらのAPIで検出されたセキュリティ課題について、任意に選択した情報も含められます。

加えて、APIサーフェスの情報を表形式(CSV)で取得でき、次の単位で整理されています:

  • ホスト(1ホストにつき1行)

  • ポート(1ポートにつき1行)

  • API(1 APIにつき1行)

APIサーフェス - レポート

もう1つの選択肢として、機械可読形式のJSONレポートでAPIサーフェス情報を取得できます。

セキュリティ課題については、個別のレポートも取得できます。

通知

Email

You automatically receive notifications to your personal email (the one you use to log in) about discovered hosts and security issues, including:

  • Daily critical security issues (new only) - all critical security issues opened for the day, sent once a day with a detailed description of each issue and instructions on how to mitigate it.

  • Daily security issues (new only) - statistics for security issues opened for the day, sent once a day with information on how many issues of every risk level were found and general action items for mitigation.

  • Weekly AASM statistics - information about hosts, APIs, and statistics for security issues discovered for your configured domains within last week.

The notifications are enabled by default. You can unsubscribe at any moment and configure any additional emails to get all or some of these notifications in Wallarm Console → ConfigurationIntegrationsEmail and messengersPersonal email (you email) or Email report (extra emails) as described here.

Instant notification

You can configure instant notification for the new and re-opened security issues. Select all or only some risk levels that should trigger notification. Separate message will be sent for each security issue.

Example:

[Wallarm System] New security issue detected
Notification type: security_issue
New security issue was detected in your system.
ID: 106279
Title: Vulnerable version of Nginx: 1.14.2
Host: <HOST_WITH_ISSUE>
Path:
Port: 443
URL: <URL_WITH_ISSUE>
Method:
Discovered by: AASM
Parameter:
Type: Vulnerable component
Risk: Medium
More details: 
Client: <YOUR_COMPANY_NAME>
Cloud: US

You can configure instant notification for the security issues in Wallarm Console → ConfigurationIntegrations → YOUR_INTEGRATION as described in your integration documentation.