APIテスト自動化ツール「SOAtest」は、OWASP TOP 10で提唱されている脅威などを含め 119個の脆弱性検証ルールを搭載し、APIのセキュリティテストを自動化します。開発の早い段階から継続的なAPIのセキュリティテストを可能にします。

悪意を持った攻撃者に晒されるAPI

なぜAPIのセキュリティテストが大事なのか？昨今、API開発が加速する中で、外部公開する API も増加傾向にあります。それに伴い、外部から直接アクセス可能なインターフェースとなる APIは、一層、悪意を持った攻撃者に晒されることになり、セキュリティ面での検証の重要性が増しています。従来から脆弱性診断サービスを専門とする外部の業者、もしくは社内の部門に検証を依頼することが多い傾向にありますが、大抵はリリース前にセキュリティ面の検証を行うケースが主となっており、開発の初期段階から継続的にAPIのセキュリティ検証を行い、開発者が脆弱性の理解・学習を深めながら開発を進める手段を持つことが、繰り返し同じ脆弱性が実装されることを防いだり、作業の手戻りを少なくする上で、近年重要視されているポイントと言えます。

APIのセキュリティテスト

APIテスト自動化ツール「SOAtest」に搭載されたセキュリティテスト機能

APIテスト自動化ツール「SOAtest」で作成済みのテスト資産(コンポーネントテストやシナリオテストなど)をそのまま使用して、APIのセキュリティテストを実行できます。そのため、APIのセキュリティ検証用に1から新しくテスト資産を作るような追加の作業を伴うことなく、開発の初期段階からAPIのセキュリティテストを継続的に実施することが可能です。

このセキュリティテスト機能では、クロスサイトスクリプティング(XSS)、SQL インジェクションなどの OWASP Top 10で提唱されている脅威を含め 119個の脆弱性検証ルールをサポートし、APIの機能テストで送受信したトラフィックの分析と脅威をレポートする「静的テスト」に加え、リクエストに攻撃データを投入してレスポンスの分析と脅威をレポートする「動的テスト」の2つの観点からAPIのセキュリティ面に関する品質を検証します。

リッチなレポート機能

セキュリティテストの結果は、CWE(共通脆弱性タイプ一覧)に基づき、リスク、信頼度ごとにエラーが整理され、レポートに出力されます。検出した脅威(各CWE)の説明や対策についてもレポートで確認できます。

外部のセキュリティツールとの連携機能

Burp Suite連携でAPIのセキュリティテスト

APIテスト自動化ツール「SOAtest」は、製品に搭載されたセキュリティ機能に加え、Burp Suiteとの連携もサポートしています。Burp Suite連携についても、「SOAtest」で作成済みのテスト資産(コンポーネントテストやシナリオテストなど)をそのまま使用して実行することで、Burp Suite側で設定した攻撃ルール(クロスサイトスクリプティング、SQLインジェクションなどの OWASP Top 10で提唱されている脅威など)に基づいてリクエストの値に攻撃データを埋め込んでテストを行います。※Burp Suite連携には、Burp Suite Professionalが必要です。

一般的な脆弱性診断サービスでは複数のツールを用いてセキュリティ面の検証をすることは珍しくないため、既にBurp Suite Professionalを持っている場合や、追加のセキュリティ検証が必要な場合にご利用ください。

Burp Suite連携で実行したセキュリティテストの結果についても、レポートが出力されます。検出した脅威の説明や詳細などをレポートで確認できます。