アプリケーション プログラミング インターフェイス (API) キーは、リクエストを行ったアプリケーションまたはユーザーを識別するために API によって使用される一意のコードです。 API キーは、ユーザー名とパスワードの仕組みと同様に、API を使用するユーザーとその使用方法を追跡および制御するため、またアプリケーションを認証および認可するために使用されます。 API キーは、単一のキーまたは一連のキーの形式にすることができます。ユーザーはベスト プラクティスに従って、API キーの盗難に対する全体的なセキュリティを向上させ、API キーの侵害による影響を回避する必要があります。
APIとAPIキー
API キーとは何かを理解するには、まず API とは何かを理解する必要があります。アプリケーション プログラミング インターフェイスまたは API は、2 つ以上のアプリケーションが情報を共有できるようにするソフトウェア仲介手段です。たとえば、CoinMarketCap の API を使用すると、他のアプリケーションが価格、出来高、資本化などの暗号データを取得して使用できるようになります。
API キーにはさまざまな形式があります。単一のキーまたは一連のキーの場合があります。さまざまなシステムは、個人のユーザー名とパスワードと同様に、これらのキーを使用してアプリケーションを認証および認可します。 API キーは、API を要求するアプリケーションを認証するために API クライアントによって使用されます。
たとえば、Binance Academy が CoinMarketCap API を使用したい場合、API キーは CoinMarketCap によって生成され、API へのアクセスを要求している Binance Academy (API クライアント) の ID を認証するために使用されます。 Binance Academy が CoinMarketCap API にアクセスするときは、この API キーをリクエストとともに CoinMarketCap に送信する必要があります。
この API キーは Binance Academy のみが使用し、他の人に共有したり送信したりしないでください。この API キーを共有すると、第三者が Binance Academy として CoinMarketCap にアクセスできるようになり、その第三者からのすべてのアクションが Binance Academy から発生したものであるかのように表示されます。
API キーは、アプリケーションが要求されたリソースへのアクセスを許可されているかどうかを確認するために CoinMarketCap API で使用することもできます。さらに、API 所有者は API キーを使用して、さまざまなリクエスト タイプ、トラフィック、リクエスト量などの API アクティビティを監視します。
APIキーとは何ですか?
API キーは、API を使用するユーザーとその使用方法を制御および追跡するために使用されます。 「API キー」という用語は、システムによって異なる意味を持つ場合があります。一部のシステムには単一のコードがありますが、他のシステムには単一の「API キー」に対して複数のコードがある場合があります。
したがって、「API キー」は、リクエストを発信したユーザーまたはアプリケーションを認証および認可するために API によって使用される一意のコードまたは一意のコードのセットです。コードの中には認証に使用されるものと、リクエストの正当性を証明するための暗号署名の作成に使用されるものがあります。
これらの認証コードは一般に「API キー」と呼ばれますが、暗号署名に使用されるコードには「秘密鍵」、「公開鍵」、「秘密鍵」などのさまざまな名前が付けられます。認証には、関係するエンティティを識別し、それらが一致していることを確認することが含まれます。彼らは自分自身であると主張しています。
一方、認可は、どの API サービスへのアクセスを許可するかを指定します。 API キーの機能は、アカウントのユーザー名とパスワードの機能と似ています。他のセキュリティデバイスとリンクして、全体的なセキュリティを向上させることもできます。
各 API キーは通常、API 所有者によって特定のエンティティに対して生成され (詳細は後述)、API ユーザーからの認証または認可、あるいはその両方を必要とする API エンドポイントへのリクエストが行われるたびに、対応するキーが使用されます。 。
暗号署名
一部の API キーは、追加の検証層として暗号署名を使用します。ユーザーが特定のデータを API に送信したい場合、別のキーによって生成されたデジタル署名をリクエストに追加できます。 API 所有者は、暗号化を使用して、このデジタル署名が送信されたデータと一致することを確認できます。
対称および非対称の署名
API を通じて共有されるデータは、暗号キーによって署名できます。暗号キーは次のカテゴリに分類できます。
対称キー
データ署名と署名検証の両方を実行するために秘密キーが使用されます。対称キーの場合、API キーと秘密キーは通常 API 所有者によって生成され、API サービスは署名検証のために同じ秘密キーを使用する必要があります。単一のキーを使用する主な利点は、実装が速くなり、署名の生成と検証に必要な計算能力が少なくて済むことです。 HMAC は対称キーの良い例です。
非対称キー
これらには、秘密キーと公開キーという 2 つのキーの使用が含まれます。これらは異なりますが、暗号化的に関連しています。秘密キーは署名の生成に使用され、公開キーは署名の検証に使用されます。 API キーは API 所有者によって生成されますが、秘密キーと公開キーのペアはユーザーによって生成されます。 API 所有者は署名検証に公開キーのみを使用する必要があるため、秘密キーはローカルで秘密のままにすることができます。
非対称キーを使用する主な利点は、署名生成キーと検証キーを分離することでセキュリティが強化されることです。これにより、外部システムは署名を生成できなくても検証できるようになります。もう 1 つの利点は、一部の非対称暗号化システムでは秘密キーにパスワードを追加できることです。 RSA キー ペアが良い例です。
API キーは安全ですか?
API キーに対する責任はユーザーにあります。 API キーはパスワードに似ているため、同じように注意して扱う必要があります。 API キーの共有はパスワードの共有と似ており、ユーザーのアカウントを危険にさらすことになるため、行わないでください。
API キーは、個人情報の要求や金融取引の実行など、システム上で大規模な操作を実行するために使用される可能性があるため、一般にサイバー攻撃の標的となります。実際に、Web クローラーがオンライン コード データベースをスキャンして API キーを盗むことに成功したケースがあります。
API キーの盗難の結果は劇的であり、重大な経済的損失につながる可能性があります。さらに、一部の API キーには有効期限がないため、一度盗まれると、キー自体が取り消されるまで、攻撃者によって無期限に使用される可能性があります。
API キーを使用するためのベスト プラクティス
機密データへのアクセスと一般的な脆弱性のため、API キーを安全に使用することが最も重要です。 API キーを使用する場合は、次のベスト プラクティスに従って、全体的なセキュリティを向上させることができます。
API キーは頻繁に変更してください。これは、現在の API キーを削除し、新しい API キーを作成する必要があることを意味します。複数のシステムがある場合、通常、API キーの生成と削除は簡単です。一部のシステムでは 30 ~ 90 日ごとにパスワードを変更する必要があるのと同様に、API キーも同様の頻度で変更する必要があります。
IP ホワイトリストを使用する: API キーを作成するときに、そのキーの使用を許可する IP のリスト (IP ホワイトリスト) を作成します。ブロックされた IP のリスト (IP ブラックリスト) を指定することもできます。これにより、たとえ API キーが盗まれたとしても、認識されていない IP からアクセスすることはできません。
複数の API キーを使用する: 複数のキーを用意し、それらの間で責任を分担すると、セキュリティが広範な権限を持つ単一のキーに依存しないため、セキュリティ リスクが軽減されます。キーごとに異なる IP アドレス ホワイトリストを設定して、セキュリティ リスクをさらに軽減することもできます。
API キーを安全に保管する: キーをアクセス可能な場所、公共のコンピューター上、または元のプレーン テキスト形式で保管しないでください。代わりに、セキュリティを強化するために暗号化またはパスワード マネージャーを使用して保存し、誤って公開しないように注意してください。
API キーを共有しないでください。 API キーの共有は、パスワードの共有と比較できます。これにより、他の当事者にあなたと同じ認証および認可の権限が与えられます。 API キーが侵害されると、盗まれてアカウントのハッキングに使用される可能性があります。 API キーは、ユーザーとそれを生成するシステムの間でのみ使用してください。
API キーが侵害された場合は、さらなる被害を避けるために、まず API キーを非アクティブ化する必要があります。経済的損失が発生した場合は、インシデントに関連する重要な情報のスクリーンショットを撮り、関連団体に連絡して苦情を申し立ててください。これは、失われた資金を取り戻す可能性を高める最善の方法です。
結論
API キーは重要な認証および認可機能を提供するため、ユーザーは自分のキーを慎重に管理および保護する必要があります。 API キーを安全に使用できるようにするためのレベルと側面は数多くあります。全体として、API キーはアカウントのパスワードと同様に扱う必要があります。
詳細情報
一般的な安全原則
5 つの一般的な暗号通貨詐欺とその回避方法。