search
ja日本語
banner
ホームページ / ブログ / API 認証の脆弱性がクラウド セキュリティの懸念の中心にある理由
ブログ
pageSearch
最新ニュース

API 認証の脆弱性がクラウド セキュリティの懸念の中心にある理由

Aug 25, 2023Aug 25, 2023

Microsoftのクラウドサービスはここ数カ月間、APIが問題の中心となっており、厳しい監視の対象となっている。 API の使用時に発生する可能性のあるセキュリティ問題を軽減するための戦略をいくつか紹介します。

Microsoft にとって、最近のクラウド コンピューティングの状況は少々荒れています。Microsoft は認証を悪用した攻撃者だけでなく、クラウド サービスの巨人である Tenable も認証に関して一般的な問題を抱えていると指摘しました。 Microsoft の投稿と Tenable の記事はどちらもクラウド認証の問題を強調し、その弱点の一部を明らかにしました。

Tenable の投稿では、クラウド セキュリティにおける透明性の欠如について Microsoft が責任を問われました。 Tenable CEO の Amit Yoran 氏が説明したように、当該の問題は「Microsoft の Power Platform (Power Apps、Power Automation) でのカスタム コネクタの作成と操作の一部として起動される Azure Function ホストへのアクセス制御が不十分な結果として発生しました。」 」

Azure の URL を推測すると、認証なしでもアクセスできる可能性があります。 Yoran 氏が書いているように、「したがって、カスタム コネクタに関連付けられた Azure 関数のホスト名を特定した攻撃者は、認証なしで、カスタム コネクタ コードで定義されている関数と対話することが可能でした。攻撃者は、そのようなホスト名を使用して、他の顧客のカスタム コネクタに関連付けられた Azure Functions のホスト名は、整数だけ異なるため、それらを決定します。」

Microsoft はテクニカル ノートで、Power Platform Custom Code の情報漏えいの脆弱性を緩和し、2023 年 8 月以降、Microsoft 365 管理センター (MC665159) を通じて影響を受ける顧客にこの問題について通知したことを示しました。通知が表示された場合、アクションは必要ありません。

人間によるログインを必要とせずにサービスや他のソフトウェア間の接続を提供するアプリケーション プログラミング インターフェイス (API) が問題の中心となっています。 API を使用すると、何かが起こるまでセキュリティにアクセスすることが困難になることがよくあります。

組織は多くの場合、ソフトウェアをレビューして明らかな脆弱性が存在しないことを確認するために専門のコンサルタントを雇う必要があります。 オープンソースからプロプライエタリなソフトウェアに至るまで、専門家によるレビューがない限り、通常、ベンダーのレビューだけでは問題を発見するのに十分ではありません。

OWASP API セキュリティ トップ 10 には、API を扱う際に注意すべき典型的な上位の問題がリストされています。 オブジェクトレベルの認証の破損から API の安全でない使用に至るまで、API に関して私たちが単にその使用を過度に信頼していることが多すぎると指摘しています。 また、当社は広く一般の人々が使用できるサービスを提供しているため、API の使用をほとんど制限しない傾向があります。 API の使用が広く一般に使用されない場合は、追加の保護と防御ができる可能性のある現在ベータ版の追加テクノロジーの使用を検討してください。

ただし、これらのソリューションの中にはまだ広く使用されておらず、パブリック プレビュー段階にあるものもあります。 その好例は、Power Platform 環境で現在プレビュー段階にある Microsoft の IP ファイアウォール ソリューションです。 Microsoft のドキュメントに記載されているように、データ漏洩などの内部関係者の脅威をリアルタイムで軽減するのに役立ちます。 「Excel や Power BI などのクライアント ツールを使用して Dataverse からデータをダウンロードしようとする悪意のあるユーザーは、IP の場所に基づいてデータのダウンロードをブロックされます。」

IP ファイアウォールは、構成された IP 範囲外からのトークン リプレイ攻撃を阻止するのにも役立ちます。 「ユーザーがトークンを盗み、それを使用して構成された IP 範囲外から Dataverse にアクセスしようとすると、アクセスは Dataverse によってリアルタイムで拒否されます。」 IP ファイアウォールは対話型シナリオと非対話型シナリオの両方で機能し、管理された環境で利用できます。 Dataverse を含むすべての Power Platform 環境でサポートされています。

API では多くの場合、セキュリティの問題は基本的な問題に帰着します。

権限。 API 権限の基本を無視したり、クラウド サービスに対して権限が過度に寛容になったりしないようにしてください。 ユーザー アクセスと同様、基本的な権限は漏洩や攻撃につながる可能性があります。 アクセスの使用は必要最小限に制限してください。

前: Trilliant Health の全国プロバイダー ディレクトリが API 経由で一般公開される 次: API 保護ツールとして Generative AI を追加する
お問い合わせを送信
送信