Secure Gatev1.1.0APIガイド

API利用ガイド

API Base URL: https://app.secure-gate.sanctum-core.com/api/v1

1. 基本ルール

APIキーはHTTPヘッダのBearerトークンとして送信します。キーは一度しか表示されないため、安全な保管先に保存してください。

export SECURE_GATE_API_KEY='sg_live_xxxxxxxxxxxxxxxxxxxxx'

2. ヘルスチェック

curl -s https://app.secure-gate.sanctum-core.com/api/v1/healthz

3. APIキー一覧

curl -s https://app.secure-gate.sanctum-core.com/api/v1/api-keys \
  -H "Authorization: Bearer ${SECURE_GATE_API_KEY}"

4. 対象URL登録

診断対象は、自社または許可を得たWebアプリ/APIの公開入口URLに限定してください。ログイン後画面や管理画面は登録しないでください。

curl -s -X POST https://app.secure-gate.sanctum-core.com/api/v1/targets \
  -H "Authorization: Bearer ${SECURE_GATE_API_KEY}" \
  -H "Content-Type: application/json" \
  -d '{"url":"https://app.example.com/","ownership_confirmed":true,"terms_accepted":true}'

5. 診断開始

curl -s -X POST https://app.secure-gate.sanctum-core.com/api/v1/scans \
  -H "Authorization: Bearer ${SECURE_GATE_API_KEY}" \
  -H "Content-Type: application/json" \
  -d '{"target_id":"target_xxx","scan_type":"standard"}'

6. 状態確認・結果取得・中止

curl -s https://app.secure-gate.sanctum-core.com/api/v1/scans/scan_xxx \
  -H "Authorization: Bearer ${SECURE_GATE_API_KEY}"

curl -s https://app.secure-gate.sanctum-core.com/api/v1/scans/scan_xxx/result \
  -H "Authorization: Bearer ${SECURE_GATE_API_KEY}"

curl -s -X POST https://app.secure-gate.sanctum-core.com/api/v1/scans/scan_xxx/cancel \
  -H "Authorization: Bearer ${SECURE_GATE_API_KEY}"

7. 結果JSONの見方

summary は全体判定、スコア、ランク、件数、次にやることを返します。checks は診断項目ごとのOK/NG/条件付きOK、想定攻撃、診断方法を返します。findings は個別指摘、証跡、リスク、修正方法、確認方法を返します。

{
  "summary": {
    "rank": "B",
    "release_decision": "conditional_ok",
    "explanation": {
      "overview": "...",
      "next_action": "..."
    }
  },
  "checks": [
    {
      "name": "HTTPセキュリティヘッダ",
      "status_label": "OK",
      "message": "現時点ではOKです。今後も十分に注意してください。",
      "expected_attack": "クリックジャッキング、MIME混同、XSS被害拡大",
      "method": "レスポンスヘッダを確認します。"
    }
  ],
  "findings": [
    {
      "severity": "medium",
      "explanation": {
        "plain_language": "...",
        "business_impact": "...",
        "recommended_action": "..."
      }
    }
  ]
}

9. 通常診断で確認する主な範囲

公開入口URL、HTTPセキュリティヘッダ、Cookie属性、CORS、公開フォーム、OpenAPI/Swagger/ReDoc、GraphQL探索UI、JSON API応答、security.txt、robots.txt、HTTPメソッドを確認します。