最近のWebシステムの構成だと、フロントエンドとバックエンドで分けて開発するのが多くなってきてると思います。もちろん、軽いアプリなら一つのRailsやLaravelなどのフレームワークで完結させても良いのですが、フロントエンドも凝ったものを要求されることが多いのでReactなどのフレームワークを使って実装することが、求められてきます。
さて、フロントエンドとバックエンドで分けて開発するときはバックエンドはAPI形式で、フロントエンドにデータを渡すことになるでしょう。このAPIについて、今後はセキュリティに対する攻撃者は狙いをつけてくることが想定されます。下記にGoogleが発表したサービスのように、APIの管理やその異常検知といった仕組みが今後求められてくる気がします。
では、具体的にAPIのセキュリティリスクがどのくらい高まっているかが、下記の記事にまとめられています。APIのセキュリティ担保自体がまだそこまで成熟してきていない中で、攻撃者がそこを突いてきているという感じです。APIは画面と違って視覚的にここにリスクがある、というのが見えづらいのも一因かなとは思います。
APIのセキュリティを担保する上で、認証の仕組みはキモになってきます。何のシステムかによってセキュリティをどのレベルまで担保すべきかというのは変わってきますが、認証周りは他のサービス(Google等)を活用するのも一つの手だと思います。また、API認証を行う上でトークンの扱いも気をつけなければいけなくて、トークンをどのように受け渡して盗まれないようにするべきかというのも、けっこう大事かなと感じます。
