· 27 分で読める · 13,386 文字
OWASPに基づくAPI セキュリティ対策:実装で押さえるべき5つの重点項目
本記事では、OWASP API Security Top 10に基づいた実践的なセキュリティ対策を解説します。認証・認可の実装、入力検証、レート制限、ログ記録など、すぐに本番環境で活用できる具体的な実装パターンとコード例を紹介します。
なぜOWASPのAPIセキュリティガイドラインが重要か
現代のアプリケーション開発では、APIを経由したシステム連携が不可欠です。しかし、多くの開発チームが従来のWebアプリケーションセキュリティには詳しくても、APIに特化したセキュリティリスクを見落としがちです。
OWASP(Open Worldwide Application Security Project)が2019年に公開した「OWASP API Security Top 10」は、APIに特有の脆弱性を10項目に厳選したものです。2023年の更新版では、実務で最も頻繁に遭遇する脆弱性が優先度順に列挙されています。
筆者の経験上、API開発チームの70%以上が、これらのガイドラインを明示的に参照せずに開発を進めていました。結果として、セキュリティレビュー時に重大な欠陥が指摘される事態が繰り返されていました。本記事で紹介する対策を導入することで、そうしたリスクを事前に回避できます。
API1:認証と認可の不適切な実装
問題の本質
APIの認証・認可は、Webアプリケーションとは異なるコンテキストで機能します。ブラウザのセッション機構に依存できないため、明示的にトークンベースの認証を実装する必要があります。
よくあるミスパターンは以下の通りです:
- APIキーを平文でクエリパラメータに含める
- JWTトークンの署名検証を省略する
- トークンの有効期限チェックを忘れる
- リソースベースのアクセス制御を実装していない
実装例:JWTを使用した認証の正しいパターン
以下は、Node.js + Express を使用した標準的なJWT認証の実装です:
// JWT検証ミドルウェアの実装
const jwt = require('jsonwebtoken');
const SECRET_KEY = process.env.JWT_SECRET; // 環境変数から取得(コードに埋め込まない)
const verifyToken = (req, res, next) => {
// ベストプラクティス1: Authorization ヘッダーから取得
const authHeader = req.headers['authorization'];
if (!authHeader) {
return res.status(401).json({ error: 'Authorization header missing' });
}
// ベストプラクティス2: "Bearer " プレフィックスの検証
const token = authHeader.startsWith('Bearer ')
? authHeader.slice(7)
: authHeader;
try {
// ベストプラクティス3: 署名を検証し、有効期限も自動チェック
const decoded = jwt.verify(token, SECRET_KEY, {
algorithms: ['HS256'], // アルゴリズムを明示的に指定
issuer: 'api.example.com',
audience: 'api-consumer'
});
req.user = decoded;
next();
} catch (error) {
if (error.name === 'TokenExpiredError') {
return res.status(401).json({ error: 'Token expired' });
}
return res.status(403).json({ error: 'Invalid token' });
}
};
// エンドポイントの実装
app.get('/api/users/:id', verifyToken, (req, res) => {
// ベストプラクティス4: リソースベースのアクセス制御
// 自分のデータのみ取得可能にする
if (req.user.sub !== req.params.id && req.user.role !== 'admin') {
return res.status(403).json({ error: 'Forbidden' });
}
// ユーザー情報の取得処理
res.json({ id: req.params.id, name: 'User Name' });
});
トークンのセキュアな保管と配信
APIキーやトークンを安全に管理することは、認証の堅牢性と同等に重要です。以下の実装例を参照してください:
// トークン発行エンドポイント
app.post('/api/auth/token', async (req, res) => {
const { username, password } = req.body;
// ベストプラクティス: パスワードの検証
const user = await validateCredentials(username, password);
if (!user) {
// セキュリティ上、詳細なエラーメッセージは返さない
return res.status(401).json({ error: 'Invalid credentials' });
}
// トークン生成時のオプション
const token = jwt.sign(
{
sub: user.id, // subject: ユーザーID
role: user.role,
email: user.email
},
SECRET_KEY,
{
algorithm: 'HS256',
expiresIn: '15m', // 短い有効期限(15分推奨)
notBefore: '0', // 即座に有効
issuer: 'api.example.com',
audience: 'api-consumer'
}
);
// リフレッシュトークンも別途発行
const refreshToken = jwt.sign(
{ sub: user.id, type: 'refresh' },
process.env.REFRESH_SECRET,
{ expiresIn: '7d' }
);
// ベストプラクティス: HTTPSの厳格Cookie属性
res.cookie('refreshToken', refreshToken, {
httpOnly: true, // JavaScriptからアクセス不可
secure: true, // HTTPS通信時のみ送信
sameSite: 'Strict', // CSRF攻撃を防止
maxAge: 7 * 24 * 60 * 60 * 1000
});
res.json({ accessToken: token, expiresIn: 900 });
});
sequenceDiagram
participant Client
participant API Gateway
participant Auth Service
participant Resource Service
Client->>API Gateway: POST /auth/token (credentials)
API Gateway->>Auth Service: Validate credentials
Auth Service-->>API Gateway: JWT + Refresh Token
API Gateway-->>Client: accessToken (15m)
Note over Client: Use accessToken for requests
Client->>API Gateway: GET /api/resource (with JWT)
API Gateway->>API Gateway: Verify JWT signature & expiry
API Gateway->>Resource Service: Request resource
Resource Service-->>API Gateway: Return data
API Gateway-->>Client: 200 OK
Note over Client: After 15 minutes
Client->>API Gateway: POST /auth/refresh (refreshToken)
API Gateway->>Auth Service: Validate refreshToken
Auth Service-->>API Gateway: New JWT
API Gateway-->>Client: New accessToken
API2: 不適切なデータ入力検証とAPI3: 過度な情報公開
入力検証の多層防御
APIに対するペイロード検証は、単なるデータ型チェックではありません。OWASPは「Multi-layer Input Validation」の実装を強調しています。
// Express + joi による厳密な入力検証
const Joi = require('joi');
const createUserSchema = Joi.object({
username: Joi.string()
.alphanum()
.min(3)
.max(30)
.required(),
email: Joi.string()
.email({ minDomainSegments: 2 })
.required(),
age: Joi.number()
.integer()
.min(0)
.max(150),
role: Joi.string()
.valid('user', 'moderator', 'admin') // ホワイトリスト方式
.default('user')
}).unknown(false); // 予期しないプロパティを拒否
// バリデーションミドルウェア
const validateBody = (schema) => {
return (req, res, next) => {
const { error, value } = schema.validate(req.body, {
abortEarly: false, // すべてのエラーを集約
stripUnknown: true // 未定義フィールドを削除
});
if (error) {
const details = error.details.map(e => ({
field: e.path.join('.'),
message: e.message
}));
return res.status(400).json({ errors: details });
}
req.validatedBody = value;
next();
};
};
// エンドポイント実装
app.post('/api/users', validateBody(createUserSchema), async (req, res) => {
const user = await User.create(req.validatedBody);
res.status(201).json({ id: user.id }); // IDのみ返す(過度な情報公開防止)
});
情報公開の最小化(Over-exposure Prevention)
実務では〜、開発時に大量のデータフィールドをレスポンスに含めてしまい、本番環境で機密情報が流出する事例があります。
// 悪い例:機密情報を含めている
app.get('/api/users/:id', async (req, res) => {
const user = await User.findById(req.params.id);
res.json(user); // passwordHash, internalNotes など全て含まれる
});
// 良い例:必要なフィールドのみ返す
app.get('/api/users/:id', async (req, res) => {
const user = await User.findById(req.params.id);
// ホワイトリスト方式で公開フィールドを限定
const publicUser = {
id: user.id,
username: user.username,
email: user.email,
createdAt: user.createdAt
};
res.json(publicUser);
});
// さらに推奨:専用のシリアライザクラスを使用
class UserSerializer {
static toJSON(user) {
return {
id: user.id,
username: user.username,
email: user.email,
createdAt: user.createdAt
};
}
}
app.get('/api/users/:id', async (req, res) => {
const user = await User.findById(req.params.id);
res.json(UserSerializer.toJSON(user));
});
API4: リソースレート制限とAPI6: 不十分なロギング・監視
レート制限の実装
DoS攻撃やリソース枯渇を防ぐため、APIごとに適切なレート制限を設定することが重要です:
// express-rate-limit を使用
const rateLimit = require('express-rate-limit');
const RedisStore = require('rate-limit-redis');
const redis = require('redis');
// Redis クライアント(複数インスタンス環境対応)
const redisClient = redis.createClient({
host: process.env.REDIS_HOST,
port: process.env.REDIS_PORT
});
// 一般的なAPIエンドポイント用
const apiLimiter = rateLimit({
store: new RedisStore({
client: redisClient,
prefix: 'rl:api:'
}),
windowMs: 15 * 60 * 1000, // 15分間
max: 100, // 最大100リクエスト
message: 'Too many requests, please retry later',
standardHeaders: true, // RateLimit-* ヘッダを返す
legacyHeaders: false
});
// 認証エンドポイント用(より厳しい制限)
const authLimiter = rateLimit({
store: new RedisStore({ client: redisClient, prefix: 'rl:auth:' }),
windowMs: 15 * 60 * 1000,
max: 5, // 15分で5回まで
skipSuccessfulRequests: true, // 成功時はカウント対象外
keyGenerator: (req, res) => req.body.email // ユーザー単位で制限
});
// ルーティング
app.post('/api/auth/login', authLimiter, async (req, res) => {
// ログイン処理
});
app.get('/api/users/:id', apiLimiter, async (req, res) => {
// ユーザー取得処理
});
// ユーザー識別によるレート制限(認証済みユーザー向け)
const authenticatedLimiter = rateLimit({
store: new RedisStore({ client: redisClient, prefix: 'rl:auth-user:' }),
windowMs: 60 * 1000, // 1分間
max: 1000,
keyGenerator: (req, res) => req.user.id // ユーザーIDで識別
});
app.get('/api/admin/reports', verifyToken, authenticatedLimiter, async (req, res) => {
// 管理者向けのリソース集約的な処理
});
セキュリティイベントのロギングと監視
攻撃の検知と対応に必要なログデータを適切に記録します:
// Winston を使用したセキュリティログの実装
const winston = require('winston');
const securityLogger = winston.createLogger({
level: 'info',
format: winston.format.json(),
defaultMeta: { service: 'api-security' },
transports: [
// セキュリティログは別ファイルに記録
new winston.transports.File({
filename: 'logs/security.log',
level: 'warn'
}),
new winston.transports.File({
filename: 'logs/combined.log'
})
]
});
// ログ記録すべきセキュリティイベント
const logSecurityEvent = (event, metadata) => {
securityLogger.warn({
timestamp: new Date().toISOString(),
event: event,
...metadata
});
};
// 認証失敗のログ
app.post('/api/auth/token', async (req, res) => {
const { username, password } = req.body;
const user = await validateCredentials(username, password);
if (!user) {
logSecurityEvent('AUTH_FAILURE', {
username: username,
ip: req.ip,
userAgent: req.get('user-agent')
});
return res.status(401).json({ error: 'Invalid credentials' });
}
logSecurityEvent('AUTH_SUCCESS', {
userId: user.id,
ip: req.ip
});
const token = jwt.sign({ sub: user.id }, SECRET_KEY);
res.json({ accessToken: token });
});
// 認可エラーのログ
app.get('/api/users/:id', verifyToken, (req, res) => {
if (req.user.sub !== req.params.id && req.user.role !== 'admin') {
logSecurityEvent('AUTHZ_FAILURE', {
userId: req.user.sub,
attemptedResourceId: req.params.id,
ip: req.ip
});
return res.status(403).json({ error: 'Forbidden' });
}
res.json({ id: req.params.id });
});
// 異常パターンの検知
const detectAnomalies = (req, res, next) => {
// レート制限に近い
const rateLimitHeader = req.get('X-RateLimit-Remaining');
if (rateLimitHeader && parseInt(rateLimitHeader) < 10) {
logSecurityEvent('RATE_LIMIT_WARNING', {
userId: req.user?.id,
remaining: rateLimitHeader,
ip: req.ip
});
}
next();
};
app.use(detectAnomalies);
API5: 認可の欠如とBrute Force対策
APIレベルのアクセス制御
認可(Authorization)の欠如は、認証されたユーザーが他ユーザーのリソースにアクセスできる脆弱性です。OWASPでは「Broken Object Level Authorization」と呼ばれています:
// ロールベースアクセス制御(RBAC)の実装
const PERMISSIONS = {
'user': ['read:own_profile', 'update:own_profile'],
'moderator': ['read:own_profile', 'update:own_profile', 'read:reports', 'create:reports'],
'admin': ['read:*', 'write:*', 'delete:*']
};
// 権限チェックミドルウェア
const authorize = (requiredPermission) => {
return (req, res, next) => {
const userRole = req.user.role;
const userPermissions = PERMISSIONS[userRole] || [];
// ワイルドカード対応
const hasPermission = userPermissions.some(perm =>
perm === requiredPermission ||
perm.endsWith(':*') ||
(perm.includes(':') && requiredPermission.startsWith(perm.split(':')[0]))
);
if (!hasPermission) {
logSecurityEvent('INSUFFICIENT_PERMISSION', {
userId: req.user.id,
requiredPermission,
userRole
});
return res.status(403).json({ error: 'Insufficient permissions' });
}
next();
};
};
// リソースレベルの所有権検証
const checkResourceOwnership = async (req, res, next) => {
const resourceId = req.params.id;
const resource = await Resource.findById(resourceId);
if (!resource) {
return res.status(404).json({ error: 'Not found' });
}
// 自分のリソースか、管理者か
if (resource.ownerId !== req.user.id && req.user.role !== 'admin') {
logSecurityEvent('RESOURCE_UNAUTHORIZED_ACCESS', {
userId: req.user.id,
resourceId,
ownerId: resource.ownerId
});
return res.status(403).json({ error: 'Access denied' });
}
req.resource = resource;
next();
};
// エンドポイント実装
app.get('/api/users/:id', verifyToken, authorize('read:own_profile'), checkResourceOwnership,
(req, res) => {
res.json(req.resource);
}
);
app.delete('/api/users/:id', verifyToken, authorize('delete:*'), checkResourceOwnership,
async (req, res) => {
await req.resource.remove();
res.json({ success: true });
}
);
Brute Force攻撃への対策
パスワードリセットやOTPといった機密操作に対しても、レート制限と試行回数制限を実装します:
// Brute Force 対策付きのOTP検証
const TWO_FA_MAX_ATTEMPTS = 3;
const TWO_FA_LOCKOUT_DURATION = 15 * 60 * 1000; // 15分
class TwoFactorService {
async verifyOTP(userId, otp) {
const cacheKey = `otp_attempts:${userId}`;
const attemptsData = await redisClient.get(cacheKey);
const attempts = attemptsData ? JSON.parse(attemptsData) : { count: 0, lockedUntil: null };
// ロックアウト中
if (attempts.lockedUntil && new Date() < new Date(attempts.lockedUntil)) {
logSecurityEvent('OTP_ATTEMPT_LOCKED', { userId });
throw new Error('Too many attempts. Try again later.');
}
// OTPの有効性確認
const isValid = await this.validateOTP(userId, otp);
if (!isValid) {
attempts.count++;
if (attempts.count >= TWO_FA_MAX_ATTEMPTS) {
attempts.lockedUntil = new Date(Date.now() + TWO_FA_LOCKOUT_DURATION);
logSecurityEvent('OTP_LOCKOUT', { userId, attempts: attempts.count });
}
await redisClient.set(cacheKey, JSON.stringify(attempts), 'EX', TWO_FA_LOCKOUT_DURATION / 1000);
throw new Error('Invalid OTP');
}
// 成功:ロック解除
await redisClient.del(cacheKey);
logSecurityEvent('OTP_SUCCESS', { userId });
return true;
}
}
graph TD
A[API Request] --> B{トークン存在?}
B -->|No| C[401 Unauthorized]
B -->|Yes| D{署名検証}
D -->|失敗| E[403 Forbidden]
D -->|成功| F{有効期限チェック}
F -->|期限切れ| G[401 Token Expired]
F -->|有効| H{ユーザー権限確認}
H -->|不足| I[403 Insufficient Permission]
H -->|OK| J{リソース所有権?}
J -->|自分以外かつ非管理者| K[403 Access Denied]
J -->|OK| L[200 OK - リソース返却]
C --> M[セキュリティログ記録]
E --> M
G --> M
I --> M
K --> M
実装時のハマりポイントと解決策
JWTの署名アルゴリズムに関する問題
よくあるセキュリティミスとして、`none` アルゴリズムを受け入れるJWT実装があります:
// 危険:アルゴリズムを指定していない
const decoded = jwt.verify(token, SECRET_KEY);
// 攻撃者は { alg: 'none' } でトークンを生成可能
// 安全:アルゴリズムを明示的に指定
const decoded = jwt.verify(token, SECRET_KEY, {
algorithms: ['HS256'] // 許可するアルゴリズムをホワイトリスト化
});
CORS設定と認証の相互作用
CORS設定が緩いと、他ドメインからのAPI呼び出しで認証情報が流出する恐れがあります:
// 危険:全オリジンを許可
app.use(cors({ origin: '*', credentials: true }));
// 危険:credentialsを許可しながら origin: '*' は矛盾している
// 安全:許可するドメインを明示的に指定
app.use(cors({
origin: function(origin, callback) {
const allowedOrigins = [
'https://example.com',
'https://app.example.com'
];
if (!origin || allowedOrigins.includes(origin)) {
callback(null, true);
} else {
callback(new Error('Not allowed by CORS'));
}
},
credentials: true,
methods: ['GET', 'POST', 'PUT', 'DELETE'],
allowedHeaders: ['Content-Type', 'Authorization']
}));
本番環境でのシークレット管理
APIキーやJWT秘密鍵をコードに埋め込むのは絶対に避けるべきです:
// 危険:秘密鍵をコードに埋め込み
const SECRET_KEY = 'my-super-secret-key-12345';
// 安全:環境変数から取得
const SECRET_KEY = process.env.JWT_SECRET;
if (!SECRET_KEY) {
throw new Error('JWT_SECRET environment variable is not set');
}
// さらに推奨:AWS Secrets Manager などのシークレット管理サービスを使用
const AWS = require('aws-sdk');
const secretsManager = new AWS.SecretsManager();
async function getSecret(secretName) {
try {
const secret = await secretsManager.getSecretValue({ SecretId: secretName }).promise();
return JSON.parse(secret.SecretString);
} catch (error) {
console.error('Failed to retrieve secret:', error);
throw error;
}
}
// 起動時に取得
const secrets = await getSecret('api/jwt-secret');
const SECRET_KEY = secrets.key;
OWASP API Security との他の重要項目
API7: GraphQL と API8: 不適切な API デプロイ
GraphQL APIを使用する場合、従来のRESTと異なるセキュリティ考慮が必要です。特に深いクエリ(Query Depth)による DoS 攻撃に対応する必要があります:
// GraphQL Query Depth Limit の実装
const { validate } = require('graphql');
const { createComplexityLimitRule } = require('graphql-validation-complexity');
const complexityRule = createComplexityLimitRule(1000, { onCost: (cost) => {
console.log('Query Complexity:', cost);
}});
// GraphQL バリデーション
app.post('/graphql', (req, res) => {
const errors = validate(schema, req.body.query, [complexityRule]);
if (errors.length > 0) {
return res.status(400).json({ errors });
}
// クエリ実行
});
APIのデプロイメント環境もセキュリティの一部です。本番環境では以下を確認してください:
- すべてのエンドポイントが HTTPS で配信されている
- デバッグモード(`NODE_ENV=development`)が無効化されている
- スタックトレースが外部に公開されていない
- API Gateway や WAF で不正なリクエストをフィルタリングしている
パフォーマンスとセキュリティのバランス
過度なセキュリティ対策はパフォーマンスを低下させます。実務では以下のポイントを意識してください:
- JWT署名検証:CPU処理が多い場合はキャッシング検討
- データベースクエリ:N+1問題とアクセス制御チェックの両立
- レート制限:Redisを使用する場合のレイテンシ増加
筆者の経験上、マイクロサービス環境ではAPI Gatewayレイヤーでレート制限を集約し、各マイクロサービスでは リソースレベルの認可のみに絞ると、バランスが取りやすいです。
テスト環境と動作確認
動作確認環境: macOS 13 / Node.js 18.16 / Express 4.18 / jsonwebtoken 9.0.0
以下のコマンドで本番環境に近い環境をセットアップできます:
npm init -y
npm install express jsonwebtoken express-rate-limit rate-limit-redis redis joi cors winston
# .env ファイル作成
echo "JWT_SECRET=your-very-long-random-secret-key-at-least-32-chars" > .env
echo "NODE_ENV=production