WebAPIの公開

APIとは，何らかの機能を提供するプログラムのことです。WebAPIとは，Webで提供されたAPIということです。たとえば，地図データを提供するAPIや商品の検索結果を提供するAPIが有名です。なるべく多くの人にアクセスしてほしい情報を持っている企業は，WebAPIとして情報を提供することが多くなりました。WebAPIという便利なインターフェースを用意することで多くのユーザにアクセスしてもらい，広告ビジネス等につなげていくのが狙いです。

またWebAPIは，多くの形式に対応していたほうが，多くのユーザに利用してもらうことができるため，なるべく多くの出力形式に対応しようとする傾向があります。以前はSOAPという形式が多く使われていましたが，実装方法が煩雑であったため，現在ではREST，JSON，JSONPのように実装がシンプルな形式のものが多く使われています。

WebAPIを公開する際のセキュリティ

WebAPIを公開する場合に発生しやすい脆弱性を紹介します。発生原理はすでに紹介したものもありますが，WebAPIという観点から見て，もう一度まとめておきたいと思います。実際にWebAPIを公開しているサイトで多く見つかっているものです。

WebAPIのクロスサイトスクリプティング対策

たとえば，JSONP形式で出力を行うWebAPIは，パラメータとしてコールバック関数名を取得します。

http://www.example.com/json?func=callback

レスポンスは，以下のようにJSONPのデータになります。

callback( { "name" : "Fukumori" } );

この場合，コールバック関数名を指定可能なのですが，関数名の中に不正なスクリプトを挿入することが可能です。

http://www.example.com/json?func=<script>alert('xss')</script>

すると，レスポンスは次のようになります。

<script>alert('xss')</script>( { "name" : "Fukumori" } );

このレスポンスはJSONPのデータであって，HTMLファイルではないので，本来であればスクリプトは実行されません。しかし第1回で紹介したように，Internet Explorerの「内容によってファイルを開く」仕様があるため，HTMLとして解釈されてしまいます。その結果として，スクリプトが実行されてしまいます。

WebAPIを公開するドメイン

WebAPIを公開するドメインは，他のサービスとは別のドメインにするほうが安全です。クロスドメインアクセスを許可するドメインと，そうでないドメインを分離することで，Flash等を利用した意図しないクロスドメインアクセスによって，情報が漏えいすることを防ぐためです。

WebAPIでの認証

機密情報を提供する場合には，ユーザ認証を行う必要があります。WebAPIでの認証は一般のWebアプリケーションとは異なる点があります。基本的に，WebAPIを利用するのは人間ではなくプログラムです。そのため一般のWebアプリケーションと同じようなログイン，セッション管理，ログアウト等を考える必要がない場合もあります。その場合はBasic認証や，Digest認証を使用することができます。

WebAPIへのクロスドメインアクセス

第3,4回で説明したように，機密情報をJSON，JSONP形式のデータとして提供する場合には，SCRIPTタグから読み込まされた際にデータが漏洩しないように注意が必要です。

機密情報の通信

機密情報を含んだデータをやりとりする場合には，WebAPIをHTTPSで提供する必要があります。最も初歩的なことのように思われますが，不備のあるサイトが意外と多く存在します。

認証キーの利用

WebAPIはプログラムから利用されることを前提として作られているため，攻撃者から見ても攻撃に役立つ便利な機能になります。そこで，不正利用されにくくする手段として，認証キーの利用が考えられます。メールアドレス等をもとにユーザ登録を行い，WebAPIを利用するための認証キーを発行し，WebAPI利用の際には認証キーを必須にします。その結果，不正利用のハードルを上げ，不正利用された場合には発見しやすくなります。しかし，簡単に他人の認証キーを利用することができたり，使い捨てのメールアドレスでユーザ登録されたりと，完全に不正利用を防ぐことはできません。あくまで不正利用のハードルを上げるためという位置づけで考えてください。

また，WebAPIはプログラムから利用されるため負荷が高くなりがちですので，認証キーを利用して，利用回数制限を設けることもできます。