サイバーセキュリティクラウド(CSC)は2024年1月12日、セキュリティソフトウェア「sasanka」をオープンソースソフトウェア(OSS)としてGitHubで公開した。APIゲートウェイ「Kong」にセキュリティ機能を付与するプラグインである。Web APIへの不正なアクセスへのルールベースでのブロック機能や、不正アクセスの検知ログ出力機能など、Web APIを安全に運用するための機能を提供する。
サイバーセキュリティクラウド(CSC)の「sasanka」は、OSSのAPIゲートウェイ「Kong」にセキュリティ機能を付与するプラグインである。オープンソースソフトウェア(OSS)としてGitHubで公開を開始した。CSCによると、ジャングルの守護神を意味するKongに防火機能を追加する意味で、耐火性の高い山茶花(さざんか)から着想してsasankaと命名したという。
12種類のプラグインにより、Web APIへの不正なアクセスへのルールベースでのブロック機能や、不正アクセスの検知ログ出力機能など、Web APIの運用で必要なセキュリティ機能を提供する。対応する攻撃の例として以下を挙げている。
- インジェクション
- CORS(オリジン間リソース共有)に関する攻撃の検知と防御
- User-Agentによる検知と防御
- libinjectionを用いたSQLインジェクション、XSS(クロスサイトスクリプティング)の検知と防御
- クリックジャッキング
- オープンリダイレクト
- マスアサインメント
インジェクションを防ぐためのルールセットとして「OWASP CoreRuleSet」を用い、ルールを取捨選択してsasankaに設定する。CoreRuleSetを利用して設定を自動化するスクリプトを用意している。
sasankaによって強化可能なセキュリティ機能として以下を挙げている。
- 検知ログ
- 検知時のカスタムレスポンス
- リダイレクトの制限
- リクエストとレスポンスのパラメータの型、値、文字数チェック
- テレメトリの測定、出力
「企業間などのデータ連携を効率的に行うための重要な手段として、Web APIの利用は急速に増加している。一方で、Web APIを標的としたサイバー攻撃も増加しており、Web APIにおけるセキュリティ対策が重要になってきている」(CSC)
