APIキーとは何か:仕組み・運用・安全対策を徹底解説(実践チェックリスト付き)
エバープレイ編集部はじめに — APIキーとは何か
APIキーは、アプリケーションやサービス間で通信を行う際にクライアントを識別・認可するために用いられる文字列(トークン)です。多くのWeb APIやクラウドサービスがAPIキーを提供しており、シンプルな認証手段として広く使われています。ただし「単なる識別子」と「十分な認証情報」の区別を理解しないと、セキュリティリスクを招きます。本稿では、仕組み、生成・保管・運用方法、脅威と対策、実践的なチェックリストまで詳しく解説します。
APIキーの基本的な仕組み
APIキーは通常、ランダムに生成された長い文字列であり、HTTPリクエストのヘッダ(例:Authorization: Bearer
重要な点は、APIキーは「誰(どのクライアント)からのリクエストか」を示すための識別子であり、必ずしもユーザーの本人確認(本人認証)に最適とは限らないことです。利用シーンに応じて、OAuth 2.0のアクセストークンやmTLS(相互TLS)など、より強力な認証手段が望ましい場合があります。
APIキーの種類と用途
- 単純な固定APIキー:最も一般的。長期間有効で、サービス同士の連携に使われる。利便性は高いが漏洩リスクが高い。
- ベアラートークン(Bearer Token):HTTPヘッダで利用される形式。トークン自体が認証情報となる。
- 署名付きリクエスト(HMAC):リクエスト本文やタイムスタンプを秘密鍵で署名し、改ざん検出や改竄防止を実現する。銀行系や決済系APIで多用。
- 短命トークン・JWT:有効期限付きのアクセストークン。短時間で失効するので安全性が高い。署名や暗号化により改ざん防止が可能。
安全にAPIキーを運用するための設計原則
- 最小権限(Principle of Least Privilege):キーに与える権限は必要最小限に限定する(読み取りのみ、特定のリソースのみ等)。
- 短命化とローテーション:可能な限りキーを短命化し、定期的にローテーション(更新)する。キーの自動ローテーション機構を用意する。
- スコープと制限の付与:APIごとに操作のスコープを設け、IP制限やリファラ制限を設定する。
- 暗号化された保存:サーバ側では平文のAPIキーをログに残さない。DBに保存する場合はハッシュ化・暗号化を検討する。
- HTTPSの強制:通信は必ずTLS(HTTPS)で行い、中間者攻撃(MITM)を防ぐ。
APIキーの生成と長さ・ランダム性
APIキーは暗号学的に安全な擬似乱数生成器(CSPRNG)で生成し、推測困難な長さ(例:最低でも128ビット、理想は256ビット相当のエントロピー)を確保します。文字列形式ではBase64やURLセーフなエンコーディングを用いることが多いです。キー生成の際は、単純な連番や短いトークンは避けてください。
保管方法とサーバ側の取り扱い
- 環境変数やシークレットマネージャ:コードベースにハードコードせず、環境変数やクラウドのシークレットマネージャ(AWS Secrets Manager、Azure Key Vault、Google Secret Manager等)を利用する。
- ハッシュ化での保存:平文で保存する代わりにSHA-256等でハッシュ化して保存する運用もある。ただし、APIキーをユーザに再表示する必要がある場合は、発行時のみ平文で表示し、保存はハッシュにするのが一般的です。
- 監査ログの注意:ログにキーを残すと漏洩の原因になるため、ログ収集処理でマスク(赤acted)するか、そもそもロギングしない。
クライアント側の注意点(ブラウザ・モバイル)
APIキーをクライアントサイド(ブラウザJavaScriptやモバイルアプリ)に埋め込むのは危険です。アプリやWebサイトのコード、ネットワークトラフィック、リポジトリ等から容易に抽出されるからです。もしクライアントから直接API呼び出しが必要なら、短命トークンやOAuthの認可コードフロー、プロキシサーバを介するなどの対策を検討してください。また、ネイティブアプリであっても埋め込みキーは逆コンパイルで流出し得ます。
アクセス制御・制限(スコープ・IP制限・レート制限)
- スコープ:キーにどの操作が許可されるか(読み取りのみ、書き込み不可等)を設定する。
- IPアドレス制限:呼び出し元IPやCIDRでアクセス元を限定する。ただしクライアントが可変IPの場合は注意。
- レート制限:異常なリクエスト増加を検出して遮断する。ブルートフォースや大量な不正利用を防ぐ基本策。
ログ・監視とインシデント対応
不正利用を早期に検出するには、以下が重要です:
- キーごとの使用状況をメトリクス化(成功/失敗リクエスト、エラー率、急増の検出)
- 異常な地域やIP、想定外の時間帯からのアクセスをアラート化
- ログは適切に保護し、リークした疑いがあるキーは即時ローテーション・無効化
インシデント発生時の基本手順:キーの無効化、被害範囲の把握、ログの保存・解析、再発防止策の実施(キーの短命化、制限追加、監視強化)、顧客通知(必要な場合)。
なぜOAuthや短命トークンが推奨されるのか
ユーザーの代理でAPIを呼び出す場合や、より厳格な認可が必要な場合はOAuth 2.0などのフローが適していることが多いです。理由は以下:
- アクセストークンに有効期限があり、漏洩時のリスクが限定される
- リフレッシュトークンと組み合わせることで長期認可を安全に扱える
- スコープや同意の管理が標準化されている
機械対機械(M2M)通信では、クライアント証明書(mTLS)やOAuthのClient Credentialsフローが安全な選択肢です。
保存時のハッシュ化・比較の実務的注意点
サーバでAPIキーの照合を行う場合、平文をDBに保存するのは避け、ハッシュ(例:SHA-256 + 固有のソルト)を保存する方が安全です。比較は定数時間比較(timing-attack防止)を行い、平文のキーをログやエラーメッセージに出力しないことが重要です。また、PBKDF2やbcryptのような遅延ハッシュはパスワード用途向けで、APIキーの頻繁な照合には性能面で負荷が出るため、用途に応じて設計を検討します。
実践チェックリスト(導入・運用で必ず行うこと)
- APIキーをコードベースにハードコードしない(環境変数・シークレットマネージャを使用)
- HTTPSを常時有効にする
- キーに最小権限とスコープを設定する
- IP制限・リファラ制限・レート制限を設定する
- キーの生成はCSPRNGで行い、十分な長さとエントロピーを確保する
- 発行時のみキーを表示し、保存はハッシュ化または安全なストレージに限定する
- 定期的なローテーションと迅速な無効化手順を整備する
- 監査ログ・アラートを設置し、不正利用を早期検知する
よくある誤解と注意点
- APIキーは万能の認証手段ではない:ユーザー承認や細かな権限管理にはOAuth等が必要
- 短いトークンは危険:推測可能なキーは総当たり攻撃に弱い
- ログに残すのは厳禁:監査やデバッグでキーが漏洩する例は多い
まとめ
APIキーは導入が容易で多くのケースに有効ですが、適切な設計と運用が伴わなければ重大なセキュリティインシデントにつながります。最小権限、短命化、適切な保存、HTTPS強制、レート制限、監視という基本を押さえ、必要に応じてOAuthやmTLSなどより強力な認証手段を組み合わせることが重要です。導入時には上記のチェックリストを活用し、定期的なレビューとインシデント対応手順の整備を行ってください。
参考文献
- OWASP API Security Project
- RFC 6749: The OAuth 2.0 Authorization Framework
- RFC 6750: The OAuth 2.0 Authorization Framework: Bearer Token Usage
- Google Cloud: API keys best practices
- AWS: Amazon API Gateway - API keys
- Microsoft: OAuth 2.0 Client Credentials Flow
投稿者プロフィール
最新の投稿
用語2025.12.20AKAI S1000徹底解説:歴史・音質・機能・現代での活用法- 用語2025.12.20S3000について — 対象モデルの指定をお願いします
- 用語2025.12.20MPC5000徹底解説:サンプリング、シーケンス、サウンドの深層を読み解く
- 用語2025.12.20徹底解説:Akai MPC500とは何か — ポータブルMPCの魅力と実践的使い方ガイド
