APIセキュリティとは何か？その重要性とは？

アプリケーションプログラミングインターフェース（API）は、現代のデジタルエコシステムの基盤であり、個別のソフトウェアシステム間のシームレスな通信を可能にします。APIは企業がサービスを統合しデータを配布することを可能にし、モバイルアプリからクラウドサービスに至るプラットフォーム間で機能の到達範囲を拡大します。しかし、APIがデジタル世界の機能において重要になるにつれ、その保護は企業にとって必要不可欠となっています。実際、最近の調査では、企業リーダーの97%が、組織の成長を促進し収益源を保護する上で、適切に実行されたAPI戦略が重要であると考えています。したがって、こうした重要な通信経路を保護するための強力なAPIセキュリティ対策の必要性が高まっていることを反映しています。

本記事では、APIセキュリティとは何か、そしてなぜamp;rsquo;s so crucial for businesses to keep it in check. The article also includes an API security assessment, common threats related to API security, and significant security breaches that happened over the years. We’ll also give you some best practices to enhance your organization’s API security posture.

APIセキュリティとは？

APIセキュリティとは、アプリケーションプログラミングインターフェース（API）に対する一般的な侵入や不正アクセスに対抗するために講じられる対策の総称です。API呼び出しのアクセス、認証、認可プロセスを管理し、許可されたユーザーとアプリケーションのみがAPIとやり取りできるようにします。APIは機密データや重要な機能性を扱うことが多く、攻撃者の標的となりやすい。実際、ある調査では2020年に91%の組織がAPIセキュリティインシデントを経験しており、不正アクセスやデータ侵害を回避するためには、APIセキュリティ対策が緊急に求められています。別の報告書では、ウェブトラフィックの83%以上がAPIに起因し、デジタルエコシステムの不可欠な要素となっていると推定されています。これらの統計はAPIセキュリティの重要性を示す背景であり、次にその理由について議論しましょう。

なぜAPIセキュリティが重要なのか？

通常のWebアプリケーションとは異なり、APIはプログラム経由でアクセス可能なため、異なる種類の攻撃を受けやすい特性があります。従来のセキュリティ対策では不十分であり、企業はAPIセキュリティメカニズムと戦略の導入が必須です。APIセキュリティの強化は、データの完全性、顧客の信頼、規制要件への準拠を確保します。ある報告書によると、全組織の40%もの企業がAPIセキュリティ攻撃に対する対策を有しておらず、API固有の脆弱性に対処するカスタマイズされたセキュリティソリューションの必要性が高まっていることを示しています。APIセキュリティの重要性を裏付ける要因を以下に示します：

1. &機密データの保護： APIは個人データ、財務情報、知的財産などの機密情報と頻繁にやり取りするため、侵害が発生すると重大なデータ損失につながり、法的責任を問われる可能性さえあります。十分に安全なAPIは、貴重な情報を不正アクセスや悪用から保護します。IBMのデータ侵害レポート2024 によると、データ侵害の平均コストは488万ドルと推定されており、これは企業にとってAPIセキュリティの必要性をさらに強調しています。
2. 事業継続性: APIセキュリティ侵害は業務を中断させ、ダウンタイムを引き起こし、収益損失につながります。このような中断は顧客関係や生産性にも悪影響を及ぼします。APIを保護することで企業はサービスを継続的に維持でき、顧客満足度とシステムへの信頼を確保できます。適切なAPIセキュリティはサービス障害の可能性を低減し、信頼の喪失や運用コストの増加を防ぎます。
3. コンプライアンスと規制要件: ほぼ全ての業種は、GDPR、HIPAA、PCI DSSなどの特定のセキュリティ対策による顧客情報・企業情報の保護を義務付ける法令によって規制されています。これらの規制は、顧客データと企業データ保護のための堅牢なセキュリティ対策の実施を要求します。コンプライアンス違反は巨額の罰金や法的措置を招き、企業のブランド評価に悪影響を及ぼす可能性があります。API セキュリティのベストプラクティスを導入することで、データ処理の方法に関する規制基準を満たし、API 攻撃のリスクを最小限に抑えることができます。
4. 評判と信頼の向上： 優れたセキュリティ体制は、サイバー脅威から顧客やパートナーを保護するという組織の取り組みを満足させるものです。継続的かつ堅牢な API セキュリティは、デジタル資産と顧客データの安全性に対する優先順位の高さを示しています。このセキュリティ体制への取り組みは、企業の評判を高めるだけでなく、ステークホルダー、顧客、そしてより広範な市場における長期的な信頼を育み、顧客ロイヤルティと市場競争力の向上につながります。

APIセキュリティは一般的なアプリケーションセキュリティとどう違うのか？

APIセキュリティと一般的なアプリケーションセキュリティの目的はどちらもデジタル資産の保護ですが、その焦点は異なり、したがって異なるアプローチが必要です。これらの違いを明確に理解することで、各領域に適したセキュリティ対策を実施できます。

そこで以下では、比較表を用いてその違いを理解し、この比較から得られた知見についてさらに考察します：

差異を慎重に評価した結果、APIは直接アクセス可能なオープンなエンドポイントを提供するため、攻撃対象領域が拡大することが明らかです。有効なリクエストのみを処理できるよう、APIキーやトークンなどの強力な認証・認可チェックが推奨されます。一般的なアプリケーションセキュリティとは、ユーザーインターフェースからバックエンドシステムに至るアプリケーション全体のセキュリティを指します。APIにはユーザーインターフェースが存在せず、APIセキュリティ攻撃の回避に重点を置くため、適切な入力検証とレート制限に大きく依存しています。

効果的なセキュリティ戦略を実装するには、こうした差異を認識することが極めて重要です。つまり、一般的なアプリケーションセキュリティが共通の脆弱性に重点を置く一方、APIセキュリティ評価では過剰なデータ公開やレート制限の欠如など、API特有の脆弱性を詳細に検証します。さらに、APIは追加のリスクに晒されています。例えば、オブジェクトレベルの認証が破られるケース（攻撃者が不正なデータ取得を目的にオブジェクト識別子を操作する）や、エンドポイント管理の不備（古いAPIや未文書化されたAPIが公開されたままになる）などです。

APIセキュリティに対する主要な脅威（最も一般的なAPI攻撃の種類）

APIは、ビジネスの完全性、機密性、可用性に影響を与える可能性のある様々な脅威に脆弱です。そのため、企業はこれらの脅威を認識し、最小化または回避するための対策を講じる必要があります。攻撃者がAPIを標的とするのは、その開放性ゆえであり、データ通信において重要な役割を担っているためです。以下に、最も一般的な7種類のAPI攻撃とその説明、および各攻撃がビジネスに及ぼすリスクレベルを示します。

1. インジェクション攻撃: このAPIセキュリティ脅威は、特定の脆弱性を悪用し、不正なコマンドの実行や機密データの取得を目的として、APIリクエストに悪意のあるデータを送信するものです。代表的なものには、認証の欠陥: 不正認証は、API認証メカニズムの不適切な実装によって発生する一般的なAPI脆弱性の一つです。脆弱なパスワードポリシー、不安全なトークン生成、不適切なセッション管理により、攻撃者が正当なユーザーを装うことを可能にします。これにより、権限のない主体が機密データやサービスにアクセスし、データ漏洩という壊滅的な結果を招くだけでなく、組織の評判を損なう恐れがあります。
2. 過剰なデータ露出: APIがクライアントが必要とする以上のデータを返す場合、攻撃者はAPIから得られる余分なデータを悪用する機会を得ます。例えば、クライアントが不要なAPIレスポンスに含まれる機密フィールドが、攻撃者による悪意のある重要な情報収集に利用される可能性があります。このような過剰なデータ露出は、データ保護規制に関連する脆弱性を拡大させ、コンプライアンス違反がビジネスに影響を及ぼす可能性があります。
3. レート制限の欠如:適切なレート制限がない場合、APIはブルートフォース攻撃やリクエストの洪水攻撃に対して脆弱です。悪意のあるユーザーがサービスを妨害するために極端な量のリクエストを送信する可能性があります。これによりAPIが利用不能となるサービス拒否状態が発生します。レート制限はリクエスト量を評価し適正利用を監視することで、サービス停止を引き起こすAPIの悪用を回避し、これらのリスクを防ぐのに役立ちます。&
5. セキュリティ設定の不備: セキュリティ設定が適切に構成されていないことは、APIにとって重大な脅威となります。これにはデフォルト設定の送信、不要なエンドポイントの公開、効果的なエラー処理の欠如などが含まれます。これらすべてが攻撃者に悪用され、不正アクセスやAPIの内部動作メカニズムに関する情報の取得を可能にし、攻撃の抜け穴を作り出す可能性があります。
6. 不十分な資産管理: APIは頻繁に進化するため、適切に管理されない限り、古いバージョンや廃止予定のエンドポイントがアクセス可能な状態のまま残ります。この不十分な資産管理は、古いエンドポイントに最新のパッチが適用されていない可能性があるため、APIを攻撃に晒します。セキュリティを維持するためには、すべてのAPIエンドポイントを追跡し、更新または安全に廃止することを確実にすることが必須です。
7. 不十分なロギングと監視： 不十分なロギングと監視は、不正アクセスや不審な活動を検知できない結果を招きます。これにより組織は長期間にわたる攻撃やデータ侵害のリスクに晒されます。リアルタイムアラートや適切な検知メカニズムがなければ、インシデントをタイムリーに対処できません。適切なロギングと監視はAPI活動の可視性を確保し、セキュリティ脅威を迅速に特定・防止・対応する能力を提供します。&

APIセキュリティの仕組みとは？

APIセキュリティは、潜在的な攻撃からAPIを保護するために連携して機能する複数のセキュリティメカニズムに基づいています。これらの異なるメカニズムが相互に連携して機能する仕組みを理解することで、組織は包括的なAPIセキュリティ戦略を実施できるようになります。本セクションでは、認証、暗号化、監視がどのように連携してAPIを悪意のある攻撃から保護するかを、異なる手法を通じて説明します。

1. 認証と認可：認証はAPIを呼び出すユーザーまたはシステムの身元を保証する一方、認可はユーザーが実行できる操作を詳細に規定します。また、OAuth 2.0などの強力な認証プロトコル、特にAPIキーは、正当なエンティティのみがAPIとやり取りすることを保証します。
2. 入力検証: 適切な入力検証により、APIで処理される前にすべての受信データがクリーン化され、正しい形式であることを保証します。入力検証は、SQLインジェクションなどの悪意のあるコードがAPIのリクエスト処理パイプラインに注入されるのを防ぎます。この手順は、データの破損を防ぎ、APIが正常に機能することを保証するために不可欠です。
3. 暗号化: 暗号化は、APIとクライアント間の通信プロセス全体を通じてデータを保護します。トランスポート層セキュリティ（TLS）などの接続方式を利用することで、攻撃者による通信情報の傍受や改ざんに関連する様々なリスクを最小限に抑えられます。データの暗号化により、交換されるあらゆるデータの機密性と完全性が保証されます。
4. レート制限: レート制限の目的は、クライアントが一定時間内に発行するAPIリクエスト数を制御または抑制することです。この手法により、ブルートフォース攻撃やサービス拒否攻撃など多様な悪用を防止し、高トラフィック時においてもAPIが正常に機能しアクセス可能な状態を維持します。
5. 監視とロギング: APIアクティビティの継続的な監視により、疑わしい活動や不正アクセスをリアルタイムで特定できます。APIとの全インタラクションをログ記録することで監査証跡が提供され、インシデント発生時にフォレンジック分析が可能となります。これにより迅速な解決が保証され、さらなる被害を防止します。

APIセキュリティテスト手法

APIの脆弱性を特定し修正するには定期的なテストが不可欠です。様々なテスト手法により、APIのセキュリティ態勢に関する異なる知見が得られます。以下に、APIセキュリティテストの重要な手法を、それぞれの固有の利点とともに紹介します。

1. 静的アプリケーションセキュリティテスト（SAST）: SASTは基本的に実行されていない状態のAPIのソースコード分析を行います。開発段階の早い段階でコーディング上のバグや脆弱性といったセキュリティ上の欠陥を特定します。SASTツールはコードベースをスキャンし、最終的にセキュリティ問題となる可能性のあるパターンを探し出すため、開発者はデプロイ前に修正できます。
2. 動的アプリケーションセキュリティテスト（DAST）: DASTは、様々な攻撃をシミュレートし応答を分析することで、実行モードのAPIをテストします。実行時エラーや設定ミスなど、実行時に発生する脆弱性を特定します。DASTツールはAPIエンドポイントと対話し、攻撃に利用可能な弱点を探します。
3. ペネトレーションテスト: ペネトレーションテスト では、セキュリティ専門家がAPIの脆弱性を悪用しようと試み、現実世界の攻撃シナリオを模倣します。この手法によりAPIの防御体制を包括的に評価でき、自動化ツールでは見逃される可能性のある弱点を浮き彫りにします。
4. APIファジングテスト: ファズテストでは、ランダムな入力、不正な入力、予期しない入力をAPIに送信し、その処理方法を検証します。この手法により、入力検証の問題、クラッシュ、攻撃者に悪用される可能性のある予期せぬ動作を発見できます。現実世界の悪意ある入力をシミュレートすることで、ファズテストはAPIが予測不可能な脅威に対して堅牢かつ安全であることを保証します。
6. セキュリティ監査: セキュリティ監査とは、API、ポリシー、手順、設定によるセキュリティ態勢を組織的かつ体系的に評価するものです。監査により、APIセキュリティに関する業界標準とベストプラクティスが適用されていることを確認し、セキュリティ態勢の改善点を特定します。

APIセキュリティ基準

確立されたAPIセキュリティ基準に従うことで、組織は一貫性のある効果的なセキュリティ対策を実施できます。以下に、脅威からAPIを保護するためのガイドラインとプロトコルを提供する基準をいくつか示します。これらはAPIセキュリティのベストプラクティスを実装するのに役立ちます：

1. OpenAPI仕様: OpenAPI仕様は、RESTful API向けの標準的な言語非依存インターフェースを定義し、ソースコードへのアクセスなしに人間とコンピュータの両方がサービスの機能を発見・理解できるようにします。これにより明確なドキュメント化が可能となり、エンドポイント、パラメータ、セキュリティスキームを定義することで安全なAPI設計を支援します。
2. OAuth 2.0: OAuth 2.0は業界を問わず広く利用されている認可プロトコルの一つです。アプリケーションがHTTPサービス上のユーザーアカウントに限定的なアクセス権限でアクセスすることを可能にします。ここでユーザー認証の責任は、ユーザーアカウントをホストするサービスが担います。OAuth 2.0 は、ユーザー認証情報を公開せずに API アクセスを保護する場面で広く活用されています。
3. JSON Web Tokens (JWT): 小規模で URL 安全な JWT は、当事者間で転送されるクレームをコンパクトに表現する手法です。認証や情報交換に広く利用されています。JWTはクレームと署名を含むエンコードされたJSONオブジェクトを含み、データの完全性と真正性を保証します。
4. TLS: インターネット経由でコンピュータ間の安全な通信を提供するために設計された暗号プロトコル、Transport Layer Security。クライアントとサーバー間の転送データを暗号化し、メッセージが盗聴、改ざん、偽造されないようにします。&
5. PCI DSS (Payment Card Industry Data Security Standard):MasterCardやVisaなどの主要なクレジットカード機関が定めた一連のセキュリティ基準であり、クレジットカード情報の受領、処理、保存、送信を行うすべての企業が安全な環境を維持することを保証します。決済処理に関わるAPIは、PCI DSSに基づくカード会員データ保護の要件に準拠する必要があります。

強固なAPIセキュリティのメリット

強固なAPIセキュリティは、単なる攻撃対策を超えた複数のメリットを企業にもたらします。これらのメリットは、組織の成功、重要データの保護、安全な環境における回復力に大きく貢献します。強固なAPIセキュリティ対策の主なメリットは以下の通りです：

1. 機密データの保護: APIのセキュリティ確保により、顧客データ、知的財産、財務記録などの機密情報が不正アクセスから保護されます。企業が管理するデータ量が増加するにつれ、データ侵害による潜在的な損害は甚大です。強固なAPIセキュリティはこうした侵害を防止し、データ漏洩に関連するリスクを軽減するとともに、深刻な財務的・評判的損害を回避します。
2. 企業評判の維持：たった1件のサイバーセキュリティインシデントで、顧客は企業への信頼を失い、その威信は永久に傷つく可能性があります。また、侵害後のメディアの注目は逃れがたく、顧客の反感も招きます。強固なAPIセキュリティは、こうしたインシデントを未然に防ぎ、企業が信頼性と信頼性に関する評判を維持することを可能にします。その結果、長期的な顧客ロイヤルティと業界内での地位を支えるのです。
3. 規制順守：特定の業界では、GDPR、HIPAA、PCI DSSなどの強力なデータ保護法によって厳格に規制されています。これらの規制への非順守は、ブランド評判への影響に加え、多額の罰金や法的責任を伴います。強固なAPIセキュリティは、必要な制御機能、暗号化を導入することで、企業が規制要件を満たすことを可能にします。GDPR、HIPAA、PCI DSSなどです。これらの規制に違反すると、ブランド評判への影響に加え、多額の罰金や法的責任が生じます。強固なAPIセキュリティは、必要な制御機能、暗号化、ログ記録メカニズムを導入することで、潜在的な侵害から保護し、継続的なコンプライアンスを確保し、企業が規制要件を満たすことを可能にします。
4. 財務損失の回避： セキュリティ侵害やシステム障害は、修復費用、法的措置、規制罰則、事業機会の喪失により重大な財務的影響をもたらす可能性があります。強固なAPIセキュリティは、こうした高コストな事象のリスクを最小化し、事業継続性を確保するとともに企業の基盤を保護します。これにより組織は、セキュリティ脆弱性を悪用したサイバー攻撃という形で発生する次なる混乱を恐れずに事業を展開できます。
5. 顧客の信頼獲得：市場競争の激化により、顧客は組織が個人情報をどのように扱うかについて非常に敏感になっています。APIセキュリティを重視する組織が顧客データを大切にしていることは言うまでもありません。このような透明性は、顧客の信頼を高め、情報の行き先が明確になることで、リピートビジネスとブランドイメージの強化につながります。
6. ビジネスの成長を支援： 安全な API は、イノベーション、パートナーとの統合、サービスの拡大への扉を開きます。APIのセキュリティ確保は、脆弱性の露出によるリスクの増加なしに、新しいビジネスモデルの模索、新製品の開発、パートナーシップの構築に組織に自信を与えます。それは、信頼性の高いセキュリティ対策に基づいてビジネスの成長を持続できる環境です。

7. APIセキュリティ侵害の事例

   APIセキュリティ侵害の実際の事例は、組織が直面する現実の脆弱性を示し、厳格なセキュリティ対策の必要性を強調しています。これらの事例は、発生する数多くの落とし穴と、将来的にそのようなインシデントを防止する方法に関する有益な知見を提供します。

   1. Facebook API侵害: Facebookは2018年に大規模な侵害事件を経験しましたが発生し、APIのバグにより「View As」機能にアクセスされた結果、約5000万人のユーザーが影響を受けました。ハッカーが攻撃したアクセストークンの脆弱性により、ユーザーアカウントが乗っ取られ個人データにアクセスされました。これは、適切な入力検証（企業アクセス制御を含む）におけるAPIのセキュリティの重要性を強く浮き彫りにしました。
   2. パネラブレッドデータ漏洩事件（2018年）: 2018年、大規模なパネラブレッドでの大規模なデータ漏洩事件が発生し、認証不要のAPIエンドポイントが暴露された結果、約700万件の顧客レコード（氏名、メールアドレス、物理的な所在地を含む）の情報が流出しました。同社は8ヶ月前にこの漏洩について通知を受けていたが、その後も脆弱性が残存していることを後に知った。この事件は、特定されたセキュリティ問題を早期に解決し、長期的な情報公開や潜在的なデータ窃取を回避すべきであることを示している。
   3. T-Mobile API侵害：2018年、T-Mobileはデータ侵害に直面し、ハッカーが脆弱なAPIを悪用して約200万人の加入者の個人情報を含むデータを盗み出しました。これは認証制御が不十分だったためで、攻撃者がセキュリティ対策を回避することを可能にしました。これはAPIのセキュリティにおいて堅牢な認証メカニズムがいかに重要かを示しており、より厳格な制御が求められています。
   4. Venmo取引の公開問題： 2019年、デフォルトのVenmo API設定により、ユーザー取引が公開可能となり、研究者が数百万件の取引と関連ユーザーデータをスクレイピングできる状態となった。この事象は、Venmoによるデータの不正開示を伴わなかったため、技術的には侵害とはみなされなかった。しかし、APIがプライバシー設定を扱う方法に深刻な問題があることを明らかにした。さらに、企業がAPIを設計・構築する際には、ユーザーのプライバシーを最優先に考慮する必要性を改めて示しています。

   APIセキュリティのベストプラクティスチェックリスト

   APIセキュリティのベストプラクティスには、企業がデータを保護しデジタルシステムの安定性を確保するために従うべき最良の戦略が含まれます。以下のチェックリストは、脆弱性を最小限に抑えセキュリティを大幅に向上させるための主要な方法を概説します：

   1. 強力な認証と認可の実装：強力な認証と認可を実装することで、あらゆる状況下において、すべてのAPIエンドポイントが認証を必要とし、許可されたユーザーのみがアクセスできるようにします。OAuth 2.0などの業界標準プロトコルと多要素認証を組み合わせることで、不正アクセスからAPIを保護する上で大きな効果を発揮します。あらゆる状況において、リスクを最小限に抑えるため、アクセス権限は常に最小権限の原則に基づいて付与されるべきです。
   2. 入力検証の徹底: SQLインジェクションやクロスサイトスクリプティングなどのAPIセキュリティ攻撃やその他の入力脆弱性を回避するため、すべての入力は常に検証され正規化されるべきです。各パラメータのデータ型、形式、許容値のチェックは、データ破損やデータ漏洩を引き起こす有害なペイロードからAPIを保護します。
   3. 暗号化の使用:トランスポート層セキュリティ（TLS）自体が転送中のデータを暗号化し、傍受や中間者攻撃を阻止しますが、企業は保存中の機密データも暗号化すべきです。万が一データが侵害されても、不正な第三者が容易に読み取ったり利用したりすることはできません。
   4. レート制限の適用: これまで、レート制限の欠如が様々な攻撃者によるAPIの悪用を可能にすることを説明してきました。その結果、レート制限の適用はAPIセキュリティのベストプラクティスの一つとなっています。レート制限は、一定時間内にクライアントが送信できるAPIリクエスト数を規制します。これにより、API利用が安全な範囲内に収まるよう保証し、ブルートフォースログイン試行やサービス拒否攻撃などの悪用を防止できます。
   5. 監視とアクティビティのログ記録: APIアクティビティの継続的な監視とログ記録機能により、組織は異常を検知し、セキュリティインシデントに迅速に対応できます。詳細なログは問題の発生源を追跡するのに非常に有効であり、セキュリティ調査中に重要な情報を提供します。不審な活動に対する自動アラートを設定することで、これをさらに強化できます。&
   6. 定期的なAPIパッチ適用と更新:APIを最新の状態に保ち、最新のパッチやセキュリティ更新を適用することで、既知の脆弱性を回避できます。必要なメンテナンスは、企業が様々な脅威に対して優位に立つことを支援すると同時に、古いソフトウェアに関連するリスクを軽減します。
   7. 定期的なセキュリティテストの実施: ペネトレーションテストやコードレビューなどの定期的なセキュリティテストにより、API実装上の脆弱性を発見できます。弱点を事前に特定し軽減することで、発生し得た悪用を防止し、新たな脅威との競争において優位に立つことができます。

   AIを活用したサイバーセキュリティ

   リアルタイムの検知、マシンスピードのレスポンス、デジタル環境全体の可視化により、セキュリティ態勢を強化します。

   デモを見る

   結論

   あらゆるものがデジタルでつながる現代のビジネス環境において、APIセキュリティは選択肢ではなく、企業にとって必須の要件です。本稿では、APIが異なるアプリケーションやプラットフォーム間の円滑な通信を可能にする重要なチャネルとなり、機密データや中核機能のやり取りを頻繁に扱うようになった経緯を考察しました。しかし、APIの採用と最終用途アプリケーションが増加する一方で、セキュリティリスクへの脆弱性も高まっています。したがって、強固なAPIセキュリティはデータだけでなく、事業継続性、顧客の信頼、規制順守をも保護します。

   認証、入力検証、暗号化、定期的なセキュリティテストといった強固なAPIセキュリティ対策を導入することで、企業はこれらの重要システムを潜在的な侵害やサイバー攻撃から守ることができます。APIがデジタルインフラの基盤であり続ける限り、そのセキュリティは包括的なサイバーセキュリティ戦略の不可欠な要素であり続け、進化する脅威に対する回復力を維持しながら、組織が革新と拡大を実現することを可能にします。

FAQs