CloudflareがエッジにAPI脆弱性スキャンを追加
Cloudflareは、API Shieldプラットフォームの一部として、動的アプリケーションセキュリティテスト(DAST)ツールであるWebおよびAPI脆弱性スキャナーのオープンベータを開始した。
キーポイント
新サービスの発表
CloudflareがWebおよびAPI脆弱性スキャナーのオープンベータを開始した。
技術カテゴリ
このツールは動的アプリケーションセキュリティテスト(DAST)に分類される。
プラットフォーム統合
新スキャナーは既存のAPI Shieldプラットフォームの一部として提供される。
影響分析・編集コメントを表示
影響分析
この発表は、エッジセキュリティ市場におけるCloudflareのサービス拡大を示しており、APIセキュリティの重要性が高まる中で、開発者向けの実用的なツールを提供することで競争力を強化する戦略と考えられる。
編集コメント
APIセキュリティ需要の高まりを受けた実用的なサービス拡充だが、技術的詳細や競合比較に乏しいため、現時点では業界標準を変えるほどのインパクトは限定的。
Cloudflare は、Web および API バグスキャナーのオープンベータ版を発表しました。この動的アプリケーションセキュリティテスト(DAST)ツールは、API Shield プラットフォームの一部です。最初のリリースでは、OWASP API Top 10 で第 1 位にランクされている「壊れたオブジェクトレベル認証(BOLA)」にのみ焦点を当てています。今後のアップデートでは、SQL インジェクションやクロスサイトスクリプティングなどを含む、より広範な OWASP Web Top 10 をカバーするようになります。
現在、最も危険な API の脆弱性は、WAF で容易に検出できる基本的なインジェクション攻撃や不正なリクエストだけではありません。それらは論理的欠陥です。プロトコルとアプリケーションの仕様には完全に適合しているが、ビジネスロジックに反する正当な HTTP リクエストです。どのように設定されていても、WAF は認証されたユーザーがパスパラメータ内で他のユーザーのリソース ID を変更したリクエストを検出できません。そのリクエストは構造と意味において正しいものです。問題はサーバーの認可ロジックのみにあります。
昨年、Cloudflare は API Shield の BOLA(インビジブル・オブジェクト・レベル・アクセス)脆弱性検出機能をリリースしました。このツールは、顧客のトラフィックをパッシブにスキャンして不審なパターンを検出することで、自動的に脆弱性を特定します。パッシブ検知は、トラフィック量が十分で攻撃パターンが明確に見える場合に効果的です。しかし、開発環境ではテストが必要でもユーザーからのトラフィックが存在しない場合や、本番環境では攻撃トラフィックが少ないにもかかわらず分析が必要な場合があります。これらのケースは、本番前のセキュリティワークフローの大部分を占めており、チーム側で独自の合成テストトラフィックを作成する必要があります。これが DAST(ダイナミック・アプリケーション・セキュリティ・テスト)ツールの本来の目的です。
従来の DAST ツールの課題は、参入障壁が高いことです。セットアップが困難な場合が多く、Swagger/OpenAPI ファイルを手動でアップロードする必要があることも頻繁にあります。また、最新のログインフローへの対応に苦戦し、API 固有のセキュリティテストを欠いていることが多々あります。
Cloudflare は、認証の欠陥を見つけるには、エンドポイントの単純なリストではなく、API をコールグラフ(呼び出しグラフ)として捉えることが最も効果的だと考えています。BOLA 脆弱性を発見するためには、まずサーバー側にリソースが存在している必要があります。所有者が最初に作成要求(ジェネシス POST と呼ばれるもの)を行うことで初めて、攻撃者が自身の有効な資格情報を使用してそのリソースにアクセスしたり変更したりしようと試みることが可能になります。多くのレガシー・スキャナは各リクエストを個別に処理するため、このような依存関係の連鎖を再現することが困難です。
API グラフの例
スキャナは、この曖昧な問題領域に対処するために Cloudflare 独自の Workers AI プラットフォームを利用しています。OpenAI のオープンウェイト gpt-oss-120b などのモデルは、データ依存関係を確実にマッチングさせることができます。また、必要に応じて現実的な偽データを生成し、OpenAPI 仕様の欠落部分を効果的に埋めることも可能です。モデルからの構造化出力により、自然言語による推論と機械実行可能なスキャン指示が接続されます。
スキャナのコントロールプレーンは、スキャンのオーケストレーションに Temporal を使用しています。Cloudflare の他の内部サービスもすでにこれに依存しており、バックエンド全体は Rust で構築されています。Cloudflare は HashiCorp の Vault Transit Secret Engine を使用して認証情報を処理します。このサービスは暗号化をサービスとして提供するもので、権限テストにおいて重要な役割を果たします。認証情報は提出直後に暗号化され、パブリック API レイヤーでは復号化できません。復号化は最終段階のみで、テストプランが顧客のインフラストラクチャへのアクセスを要求した際に実行されます。
スキャナは現在、API Shield の顧客向けにオープンベータ版として利用可能です。結果は既存のポスチャー検出結果とともに Cloudflare の Security Insights ダッシュボードに表示されます。チームは Cloudflare API を使用してスキャンの実行、設定の管理、結果の取得を行うことができます。これにより、CI/CD パイプラインやセキュリティダッシュボードへの直接統合が可能になります。Cloudflare は、SQLi や XSS といった一般的な脅威に対処するための新しい Web アプリケーション脆弱性スキャンティア向けの待機リストを開設しました。
Cloudflare は、競争が激しく断片化された API DAST(動的アプリケーションセキュリティテスト)の領域に参入しました。この比較は示唆に富んでいます。API セキュリティにおける主要プレイヤーである Salt Security は、主にパッシブな手法を使用しています。これはトラフィック分析を通じて BOLA(レベルインデックス・オブジェクト・レベル・アクセス制御違反)攻撃を検出するものです。Salt によると、BOLA 攻撃を捉えるには、API の動作を数日または数週間にわたって監視する必要があります。これには、兆単位の API コールにわたる長い分析ウィンドウが必要です。この手法は安定した環境ではよく機能しますが、開発パイプラインの盲点を残します。
著者について
Claudio Masolo
Claudio は Nearform のシニア DevOps エンジニアです。
趣味はランニング、読書、そして古いビデオゲームをプレイすることです。
原文を表示
Cloudflare has announced the open beta of its Web and API Vulnerability Scanner. This Dynamic Application Security Testing (DAST) tool is part of the API Shield platform. The first release focuses solely on Broken Object Level Authorization (BOLA), ranked first in the OWASP API Top 10. Future updates will expand to cover the wider OWASP Web Top 10, including SQL injection and cross-site scripting.
The most dangerous API vulnerabilities today aren’t just basic injection attacks or malformed requests that a WAF can easily detect. They are logical flaws: perfectly valid HTTP requests that meet the protocol and application specs but defy the business logic. A WAF, no matter how well set up, can't catch a request when an authenticated user just changes another user's resource ID in a path parameter. The request is correct in structure and meaning. The issue lies solely with the server's authorization logic.
Last year, Cloudflare launched BOLA vulnerability detection for API Shield. This tool automatically spots vulnerabilities by passively scanning customer traffic for any unusual patterns. Passive detection works well when traffic volume is enough and attack patterns are visible. But development environments may need to be tested but lack user traffic, and production environments may lack attack traffic yet still need analysis. In these cases, which cover most pre-production security workflows, teams need to create their own synthetic test traffic. That's what DAST tools are made for.
The issue with traditional DAST tools is their high barrier to entry. They can be difficult to set up and often need manual uploads of Swagger/OpenAPI files. They also struggle with modern login flows and often lack API-specific security tests.
Cloudflare believes that finding authorization flaws works best by viewing the API as a call graph instead of a simple list of endpoints. To find a BOLA vulnerability, a resource must first exist on the server side. An owner must first make a creation request, called a genesis POST. Only then can an attacker try to access or change the resource using their own valid credentials. Most legacy scanners handle each request separately. This makes it difficult to recreate this kind of dependency chain.
Example of API graph
The scanner uses Cloudflare's own Workers AI platform to tackle this fuzzy problem space. Models like OpenAI's open-weight gpt-oss-120b can reliably match data dependencies. They can also create realistic fake data when needed, effectively filling in gaps in OpenAPI specifications. Structured outputs from the model connect natural language reasoning to machine-executable scan instructions.
The scanner's control plane uses Temporal for scan orchestration. Other internal services at Cloudflare already depend on it. The entire backend is built in Rust. Cloudflare uses HashiCorp's Vault Transit Secret Engine to handle credentials. This service provides encryption-as-a-service, which is key for testing authorization. Credentials are encrypted right after submission. The public API layer cannot decrypt them. Decryption only happens at the final stage when a test plan requests access to the customer's infrastructure.
The scanner is currently available in open beta for API Shield customers. Results appear in Cloudflare's Security Insights dashboard alongside existing posture findings. Teams can use the Cloudflare API to trigger scans, manage settings, and get results. This allows for direct integration into CI/CD pipelines or security dashboards. Cloudflare has opened a waitlist for the new web application vulnerability scan tier. This will address common threats like SQLi and XSS.
Cloudflare enters the API DAST space, which is crowded and fragmented. The comparison is revealing. Salt Security, a key player in API security, mainly uses passive methods. It detects BOLA attacks through traffic analysis. Salt claims that capturing a BOLA attack requires monitoring API behaviour over days or weeks. This involves long analysis windows across trillions of API calls. This method works well in stable environments but leaves development pipelines blind.
About the Author
Claudio Masolo
Claudio is a Senior DevOps Engineer at Nearform.
In his spare time, he likes running, reading, and playing old video games.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み