API および Web サービスカテゴリでは、アプリケーションに適切な認証、承認、およびセッション管理があることを確認し、信頼境界を横切るすべての入力を検証します。またそのカテゴリにはすべての API タイプのセキュリティコントロールが含まれています。

このカテゴリの特定のコントロールは、SOAP Web サービスの XDS スキーマ検証や graphQL API のサービス拒否保護など、サービスタイプ別の入力検証に対応します。