APIdays INTERFACE 2021 セキュリティ系 (その1)

今回はソフトウェア会社とかソリューションを作っているところのプレゼンテーションが多かった。
最初に見たのがThe State of OAuthだったのですが、あれは情報がリッチだったので別に書きました。

API Security: Key Considerations and Best Practices by Travis Johnson

APIセキュリティの基本を丁寧にまとめたもの。
API Management基盤の提供元の発表のようです。

後半のQAがなかなか良い。

そういえば英語でしか聞かない表現だなあと思ったのでメモしておきます。

East-Westトラフィック: 内部同士のトラフィック。例えばシステム間通信。
North-Southトラフィック: 組織外からのトラフィックのこと。

Why Is It Important? East-West and North-South Traffic Security | SOCRadar速 Cyber Intelligence Inc.

Authentication and Authorization Best Practices for Your API

アイデンティティ管理 (IAM)、APIセキュリティ、リスクベース認証の必要性、WSO2のIAMソリューションのデモ。

API Management周りの構成の概要などもあって、そういえばこれよく聞かれるけど意外と資料がないのに気が付きました。

今までちゃんと調べたことがなかったけど、この説明で出てきた多要素認証 (MFA) でよく使われるワンタイムパスワードのTOTP方式についてちゃんと調べてみました。

時刻をベースにワンタイムパスワードを算出するTOTP (Time-based One Time Password) と、今までの認証回数をベースにするHOTP (HMAC-based One Time Password) があり、HOTPの方はズレが発生しやすいため現在はTOTPが主流なんだとか。

SMS認証の仕組みと危険性、「TOTP」とは？　「所有物認証」のハナシ

資料の中でRisk Based Securityの四半期ごとの情報漏洩事故の傾向をまとめたレポートが紹介されていました。レポートは実際にあとで読んでみたいと思いますが、2020/1 から 2020/12までの年間の概要のまとめ記事があったのでリンクしておきます。

StackPath

Why a Web Application Firewall is Not Enough by David Thomason

WAFとAPI Management基盤の違いについて。

WAFはだんだん使われなくなっているという話。

機能的にジェネリックで、チューニングを考えた時にたくさんのチューニングが必要になり、維持コストがかかるため、より高いセキュリティが欲しい場合にそれに応えるものではないので、置き換えが進んでいるとのことです。

Security APIs in Cloud-Native Environments by Prabath Siriwardena

インタビューベースのQA、とても良かった。

Gatewayレベル、(マイクロ) サービスレベル (サービスメッシュ)、データレベルでそれぞれ守らなければいけないという点から始まり、それぞれがなぜ必要かという話をしてくださいました。

ゼロトラストをベースに考えた時にGatewayだけだとそもそもGatewayの内側のネットワークは信頼する (ゼロトラスト以前) という考え方に基づく。

ゼロトラストを考えた時にコード内のロジックとセキュリティを同時に開発者の方が考えなければならない。どうしても開発者の方はロジック部分に集中してしまうが、サービスメッシュがあることでセキュリティの部分はサービスメッシュに任せることができる。

その他にもOWASP API Security Top 10 の話、OAuthのトークンの保存先の話など幅広かった。