APIテストでシステムのセキュリティ強化と最適化
グエン・ティ・ タムこんにちは!メディアフュージョンでテスターをしているタムです。Webサイトやアプリ、APIのテスト、SQLなどを担当しています。最近は自動テストに興味を持ち、JavaやPostman、Seleniumなどを勉強しています。これからこのブログで日々の学びを発信していきたいと思います。よろしくお願いします!
ソフトウェアプロジェクトでは、APIテストはシステムの安定性と安全性を確保するために重要です。 ユーザーインターフェース (UI) がしっかりテストされている場合でも、APIにはセキュリティの脆弱性が残っていることがあります。 APIテストを無視すると、バックエンド (BE) とフロントエンド (FE) の統合エラーやセキュリティリスクが発生する可能性があります。 テスターとして、APIテストの技術を正しく理解し、適用することで、リスクを減らし、システムの安定性を保証できます。
プロジェクトにAPIテストは、バックエンド(BE)とフロントエンド(FE)が別々に開発されている場合でも、一貫性を確保するため。APIは、異なるシステム間でデータやリクエストを交換するためのプロトコルやインターフェースです。APIをしっかりテストすることで、セキュリティリスクを減らし、ハッカーが弱点を利用して攻撃するのを防ぎます。さらに、APIテストを実施することで、ロジックエラー、データフォーマットエラー、セキュリティ問題を早期に発見し、システムの信頼性を高めることができます。
これらの問題は、私が以前働いた会社で実際に経験したことです。具体的な例として、ジョブと応募者を管理するプロジェクトで、次のような状況がありました。登録フォームには「名前」、「メールアドレス」、「パスワード」のフィールドがありました。ユーザーインターフェース(UI)では、パスワードが8~20文字であるかをチェックしていました。しかし、APIをテストしたとき、同じ制約がAPI側にはないことに気づきました。どうなるのでしょうか?悪意のある人がUIを無視し、APIを直接呼び出して、1文字だけのパスワードでアカウントを作成することができます。これは大切なセキュリティの脆弱性であり、弱いパスワードで攻撃されやすくなります。学んだ教訓として、UIだけでなく、APIもテストする必要があります。バックエンド(BE)とフロントエンド(FE)の両方で、データバリデーションルールを設定することが非常に重要です。
もう一つのケースとして、バックエンド(BE)とフロントエンド(FE)のデータ形式が一致していない問題があります。ある販売プロジェクトで、APIは日付データを「YYYY-MM-DD」形式で返しましたが、フロントエンド(FE)は「DD/MM/YYYY」形式を依頼していました。そのため、画面上に表示されるデータが間違って、ユーザーにとって分かりづらい状況が発生しました。ここでの教訓は、API設計の段階でデータ形式を統一することが必要です。テスターとしては、APIを呼び出す際にデータ形式をチェックし、フロントエンドの要件と一致しているかを確認することが大切です。
他の問題として、入力チェック不足によるセキュリティ脆弱性があります。ある在庫管理プロジェクトで、APIが商品の追加を行う際、数量の形式をチェックしていませんでした。例えば、「-10」を入力すると、システムはエラーを返さず、そのまま商品をデータベースに追加してしまいました。その時、負の数量が在庫データを誤って登録することで、在庫管理に大きなリスクをもたらします。教訓として、APIでは入力データを正しくチェックし、不正な値(例えば、負の数や数値フィールドに文字データなど)を受け入れないようにする必要があります。
APIテストを行う際、サポートツールの利用はとても重要です。現在、私はPostmanを使用しています。Postmanは使いやすく、特にREST APIのテストに役立つツールです。Postmanを使うことで、HTTPリクエストを実行し、サーバーからの応答を確認し、結果を迅速および効率的に分析できます。テスト作業がスムーズに進むため、非常に便利です。
まとめると、プロジェクトにAPIテストは、テスターが習得すべき重要なスキルです。APIのセキュリティを集中したり、バックエンド(BE)とフロントエンド(FE)のデータを同期をしたり、自動を優先にテストしたり、異常ケースのチェックを実施することが、私の経験から得た教訓です。次回のブログは、現在広く使われているREST APIについて紹介します。REST APIのテストケースの作り方や、Postmanを使ったテスト方法についても詳しく解説します。
