セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

3/27に翻訳本『ハッキングAPI』が発売されます。

久しぶりの更新ですが、3/27に翻訳本『ハッキングAPI ―Web APIを攻撃から守るためのテスト技法』(オライリージャパン)が発売されます。

www.oreilly.co.jp

手元には、見本誌も届きました。


本書は、Corey Ball氏の著作である『Hacking APIs: Breaking Web Application Programming Interfaces』の翻訳本です。Webアプリケーションのセキュリティテスト技法に関する本は良書*1*2*3は複数存在しましたが、Web APIに関するセキュリティテスト技法についての著作はまだありませんでした。

本書は、OWASP API Security Top 10などに基づき、体系的にAPIセキュリティテスト技法を紹介しており、脆弱性診断やペネトレーションテスト技術についてこれから学ぶ方、知識をアップデートしたい方にもオススメの一冊です。

また、技術監修として、北原さん、洲崎さんに入ってもらい、最新の状況にアップデートされていますので、最新の情報を学ぶことが可能です。

翻訳者としてのオススメポイントの点を紹介していきます。

オススメその1:APIセキュリティを体系的に学ぶことができる

APIセキュリティに限りませんが、脆弱性診断やペネトレーションテスト技術を学ぶ上では、対象となる技術を正確に理解し、ツールの使い方、実際の脆弱性の検出手法をハンズオンで学ぶ必要があります。

本書は、初学者を強く意識して執筆された書籍です。

  • 第0章~2章で、Web APIの前提となるWebアプリケーションの仕組み、Web APIの仕組みをわかりやすく解説しています。具体的には、API認証の仕組み、APIの仕様などが丁寧に解説されています。
  • 第3章では、実際のWeb APIに関する脆弱性の概要を説明し、これから学ぶ脆弱性の全体像を学ぶことができます。
  • 第4章~5章では、実際に利用するBurp SuiteやPostman、wfuzzといったツールの解説と、実際に脆弱性を試すことができる各種脆弱なラボ環境(crAPI、Owasp Juice Shop、DVGA)などを紹介していきます。
  • そして、実際に各脆弱性を紹介する6章以降では、各脆弱性の原理や検出方法を解説しつつ、最後にはラボを用意しており、実際に各章で学んだ技術を実際に試すことが可能です。演習を通じて、JWTに対する攻撃手法やファジングなど、様々な技術・テストアプローチを学ぶことができます。また、WAFの回避技術やレート制限の回避技術、GraphQLに対するテスト技法など、まだ日本では情報が少ない攻撃手法についても解説されており、GraphQLへの攻撃を学ぶ観点でも良い書籍でしょう。

そのため、本書は、伴奏型学習(言い換えれば、まるでインストラクターが横にいる感覚)で、Web APIに対するセキュリティテスト技法を学ぶことができる一冊です。そのため、Web系の脆弱性診断に興味がある初学者のみならず、自分の開発したAPIにテストするなど、開発者にとっても非常に有益でしょう。

また、訳者(私)が10年近くWebアプリケーションの脆弱性診断、ペネトレーションテストに従事してきた経験を踏まえ、実務を踏まえた最新情報・補足情報の紹介しています。また、技術監修の北原さん、洲崎さんによりラボ環境は検証いただき、最新の状況にアップデートされていますので、最新の環境で学ぶことが可能です。

オススメその2:著者について

著者であるCorey Ball氏(@hAPI_hacker)は、Moss Adams*4のサイバーセキュリティコンサルティングサービス部門でシニアマネージャーをしています。Corey Ball氏は、API Securityの普及に多くの貢献をしている人物です。

具体的には、APIsec Universityというオンラインコースを開講しており、無償で受けることができます。本書を読んだ後、さらにこうしたコースを通じてスキルを磨くことも可能ですし、(著者が同じこともあり)本書とも整合していますので、(英語ではありますが)更なる学習もしやすい環境が整っています。本書で学んだあとにさらに学びたい場合、APISec Universityを利用して学ぶこともできるでしょう。

www.apisecuniversity.com

また、原書の評判も非常によく、Amazonのレビューはもちろんのこと、米国のサイバーセキュリティ研究教育機関であるSANS Institute が主催するSANS Difference Makers Awardsにおいて、Book of the Yearも取得しています。

www.sans.org

非常に良い書籍なので、ぜひ書店やAmazonで手に取っていただけると嬉しいです!