API 脆弱性診断

API脆弱性診断(REST / GraphQL)

画面に出ていない API ほど認可不備(BOLA)が残りやすい。OWASP API Security Top 10 を軸に、API固有のリスクを重点的に診断します。

単発50,000円から申し込む まずは相談する
診断をすすめるカワウソのキャラクター

料金(見積もり不要・明朗会計)

単発診断

50,000円〜

(税別 / 1サイト)

  • 9,000項目以上の侵入テスト
  • 50〜200ページのレポート
  • 即日〜3営業日で着手

年間プラン

60,000円〜/年

最大50%OFF(毎月プラン換算)

  • 年1回 / 半年 / 四半期 / 毎月
  • 再診断込み
  • 継続的な改善ループ

プラン詳細・年間プランの価格は 料金プランページ でご確認いただけます。

診断できること / できないこと

診断対象

  • 公開 REST API(モバイル/SPA バックエンド)
  • GraphQL エンドポイント
  • Webhook 受信エンドポイント・Server-to-Server API

対象外

  • 社内 LAN からのみアクセス可能な内部API
  • 商用APIゲートウェイ製品自体の脆弱性
  • API クライアント側(モバイルアプリ本体)の解析

診断で手に入るもの

認可不備(BOLA / 関数レベル認可)の検出結果

過剰なデータ露出・マスキング漏れの一覧

レート制限・認証・トークン管理の評価

実際のレポート構成例は サンプルレポート ページで公開しています。

申込みから完了までの流れ

  1. STEP 1

    プラン選択 / 決済

    単発か年間プランかを選び、見積もり不要でそのまま決済します。

  2. STEP 2

    サイト所有確認

    メタタグ等で診断対象サイトの所有を確認します。

  3. STEP 3

    診断実施

    即日〜3営業日で着手。自動診断 + 担当者の手動確認を実施します。

  4. STEP 4

    レポート提供

    マイページから50〜200ページのレポートをダウンロードできます。

よくある質問

API ドキュメントが必要ですか?

OpenAPI / Swagger / GraphQL Schema があると、すべてのエンドポイントを漏れなく診断できます。ドキュメントが無い場合はトラフィックキャプチャから対象を抽出します。

GraphQL の診断にも対応していますか?

はい、対応しています。イントロスペクションの取り扱い、深いネストクエリによる DoS、認可不備(field-level authorization)を重点的に確認します。

認可不備(BOLA)はなぜ重要ですか?

BOLA(Broken Object Level Authorization)は OWASP API Security Top 10 の筆頭で、他人の ID を指定するだけで他人のデータが取れてしまう典型的な事故です。画面に出ない API ほど発生率が高い傾向があります。

モバイルアプリのバックエンドAPI も診断できますか?

はい、アプリと通信する API エンドポイントを対象に診断できます。アプリバイナリ自体のリバースエンジニアリングは対象外です。

WebSocket は対象になりますか?

WebSocket 経由のメッセージング層も対象に含められます。事前にエンドポイントとメッセージ仕様を共有してください。

料金プランを見る

単発・年間プランの詳細価格を比較できます。

診断手法と項目

OWASP Top 10対応と9,000項目以上の根拠を公開しています。

サンプルレポート

どんな成果物が届くか、構成例で確認できます。

まずは1サイト50,000円から始めてみる

見積もり不要の明朗会計。サイト所有確認後、即日〜3営業日で診断に着手します。

単発で申し込む 先に相談する