セキュリティのベストプラクティス
API の公開範囲を広げる際は、セキュリティリスクを最小限に抑えるための対策が不可欠です。
匿名アクセスのリスク
Guests グループに製品を公開すると、インターネット上の誰もが API の定義(エンドポイント、パラメータ、レスポンス形式)を閲覧できるようになります。
- 機密情報を含む API 定義は公開しない
- 内部向けのエンドポイントが露出しないように注意する
- 攻撃者に攻撃のヒントを与える可能性があることを認識する
推奨される対策
必要な情報のみを公開し、過度な露出を防ぐための対策を実施しましょう。
- 公開用と内部用で製品を明確に分ける
- API 定義 (OpenAPI Spec) から機密性の高い説明文を除外する
- CORS ポリシーを適切に設定し、不正なドメインからの呼び出しを防ぐ
チェックリスト
最小権限の原則
デフォルトでは非公開にし、必要なユーザー(グループ)にのみアクセス権を付与していますか?
サブスクリプションの強制
可能な限り「保護された製品」を使用し、API キーによる認証を強制していますか?
オープン製品の再確認
オープン製品を使用している場合、レート制限 (Rate Limit) や IP 制限などのポリシーで保護されていますか?
※ API キー認証がないため、DDoS 攻撃などのリスクが高まります。