Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
日本語
Entry № 774

OWASP API Security Top 10

OWASP API Security Top 10 とは何ですか?

OWASP API Security Top 10Web API に固有のもっとも重大なセキュリティリスクをまとめた OWASP の啓発文書で、汎用 OWASP Top 10 を補完する。

OWASP API Security Top 10 は、REST、GraphQL、gRPC など Web API に特有のリスクを優先順位付けしたコミュニティ主導のリストです。2023 年版では、Broken Object Level Authorization(BOLA)、Broken Authentication、Broken Object Property Level Authorization、無制限なリソース消費、Broken Function Level Authorization、機微なビジネスフローへの制限なしアクセス、SSRF、セキュリティ設定不備、Improper Inventory Management、Unsafe Consumption of APIs に焦点を当てます。これらは従来の Web アプリ Top 10 ではカバーが弱いため、API セキュリティゲートウェイ、ペンテスト範囲、開発者教育、規制側で広く活用されています。

  1. 01

    攻撃者が API1:2023 BOLA を悪用し、/orders/123 を /orders/124 に変更して他顧客の注文を読み取る。

  2. 02

    セキュリティレビューで API ゲートウェイの所見を OWASP API Top 10 の ID に対応付け、経営層へ報告する。

よくある質問

OWASP API Security Top 10 とは何ですか?

Web API に固有のもっとも重大なセキュリティリスクをまとめた OWASP の啓発文書で、汎用 OWASP Top 10 を補完する。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。

OWASP API Security Top 10 とはどういう意味ですか?

Web API に固有のもっとも重大なセキュリティリスクをまとめた OWASP の啓発文書で、汎用 OWASP Top 10 を補完する。

OWASP API Security Top 10 はどのように機能しますか?

OWASP API Security Top 10 は、REST、GraphQL、gRPC など Web API に特有のリスクを優先順位付けしたコミュニティ主導のリストです。2023 年版では、Broken Object Level Authorization(BOLA)、Broken Authentication、Broken Object Property Level Authorization、無制限なリソース消費、Broken Function Level Authorization、機微なビジネスフローへの制限なしアクセス、SSRF、セキュリティ設定不備、Improper Inventory Management、Unsafe Consumption of APIs に焦点を当てます。これらは従来の Web アプリ Top 10 ではカバーが弱いため、API セキュリティゲートウェイ、ペンテスト範囲、開発者教育、規制側で広く活用されています。

OWASP API Security Top 10 からどのように防御しますか?

OWASP API Security Top 10 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

OWASP API Security Top 10 の別名は何ですか?

一般的な別名: OWASP API Top 10。

関連用語

関連項目