NRIセキュアテクノロジーズ株式会社(本社:東京都千代田区、代表取締役社長:小田島 潤、以下「NRIセキュア」)は、電子商取引などのIT(情報技術)サービスを行う企業が、Web API(ウェブ・アプリケーション・プログラミング・インターフェース、以下「API」)*1の公開や活用を行うにあたって、セキュリティの面からそれを支援する「APIセキュリティコンサルティングサービス」(以下、「本サービス」)を、本日から提供開始します。
昨今、FinTech(ITを使った新しい金融サービスの総称)における個人向けの資産情報収集・管理サービスや、IoT(モノのインターネット化)におけるパーソナルデータの流通など、エンドユーザー(最終的なサービス利用者)のプライバシーとセキュリティを担保しながら、複数のサービス事業者間でデータ連携を行うケースが増えています。それに伴い、「サービス間のやりとりをつかさどるAPIをどのように設計・構築すればよいか」、あるいは「将来のビジネスの発展に資するAPI提供はどうあるべきか」といった課題を抱える企業も多くなっています。
また、OAuth*2やOpenID Connect*3など、日々進化するオープン標準技術への準拠や、法令や業界ガイドラインの順守も、API提供を推進するためには考慮すべき重要なポイントです。
NRIセキュアはこのような背景から、企業がAPIを提供するにあたり、業界標準のセキュリティ仕様や有力なソリューションを適切なかたちで活用できるようにするためのコンサルティングサービスを始めます。
-
本サービスの特長
本サービスは、「APIビジネスコンサルティング」「APIアーキテクチャ策定支援」「API管理ソリューション導入支援」「APIセキュリティ診断サービス」の4つのメニューから構成されます。これまで、NRIセキュアが金融機関や製造業をはじめとする多くの企業でAPI関連のコンサルティングを実施してきた実績・ノウハウと、NRIグループとして蓄積したデジタルアイデンティティ分野の知見を元に、ビジネスパートナーや一般開発者に訴求し、かつエンドユーザーが安心して利用できるAPIを、迅速に提供する支援を行います。
-
APIビジネスコンサルティング
各社のビジネス戦略におけるAPIの役割を検討し、その上で各社がAPIを提供する先(例: 社内向け/パートナー向け/一般公開)、適用分野(例: 既存事業/新規事業、顧客向け/従業員向け)、機能(例: 参照のみ/情報更新)を明確化し、APIを活用したビジネスの展開ロードマップの策定を支援します。
-
APIアーキテクチャ策定支援
上記で作成したAPIビジネスの展開ロードマップをベースに、最適なAPIの設計を支援します。特にAPIでセキュリティの中核となる「OAuth」「OpenID Connect」の適用については、既存システムや業務フローに適したプロファイリング(パラメーターやシークエンスの設計)を行い、APIを利用する外部のサービス事業者にとって接続しやすく、同時にエンドユーザーが許可しないかたちでのAPI活用を防止するアーキテクチャを検討します。
-
API管理ソリューション導入支援
国内外の有力API管理ソリューションを活用して、各社のニーズに合ったAPI管理基盤の構築を支援します。
-
APIセキュリティ診断サービス
実装されたAPIに対し脆弱(ぜいじゃく)性が作りこまれていないかを、実際にAPIへアクセスしながら技術的な検証を行います。開発言語、利用プラットフォーム、およびOAuth、OpenID Connectなどの認可仕様を考慮した評価項目を用意しています。
本サービスは、国内外の有力API管理ソリューションベンダーと協力して提供していきます。このたびNRIセキュアは、CA Technologies(本社:米国ニューヨーク州アイランディア)の日本法人である日本CA株式会社(以下、「CA」)との間で、国内における販売代理店契約を締結しました。この契約締結により、NRIセキュアは、CA が提供するWeb APIの開発、管理、運用などを支援する統合プラットフォーム「CA API Management」の販売から導入支援までを、一貫して行うことができるようになりました。
「APIセキュリティコンサルティングサービス」の詳細は、以下のURLをご参照ください。
https://www.nri-secure.co.jp/service/consulting/apisecurity
本サービスは、2016年度に1億円の売り上げを見込んでおります(ライセンス販売を除く)。
NRIセキュアは、今後も、企業・組織の情報セキュリティ対策を支援するさまざまな製品・サービスを提供し、日本国内におけるAPIエコノミーの発展、そしてAPIを活用した安全・安心な情報システム環境と社会の実現に貢献していきます。
*1 API(アプリケーション・プログラミング・インターフェース)/Web API:
Webサイトが外部のWebサイトやアプリケーションソフトに対し、インターネット経由でビジネスロジックやデータを公開するためのインターフェースのこと。
*2 OAuth:
サービス連携において、外部からのデータやサービスに対するアクセスを、利用者の同意に基づいて認可するための仕様。OAuthに対応したサービス連携では、利用者が外部サービスにIDやパスワードを漏らすことなく、必要最低限のアクセス権限のみを委譲することができる。
*3 OpenID Connect:
サービス間で、利用者の同意に基づきID情報を流通するための標準仕様。利用者はOpenID提供サイトに登録したID情報を使って、ほかのOpenID対応サイトにログインすることが可能となり、利便性の向上につながる。さらに氏名、住所、カード番号といった属性情報を、利用者の承認のもとにサイト間で連携することにより、利用者はこれまでサイトごとにバラバラに登録していたID情報の管理を一元化することができるようになる。
ご参考
今回の発表について、API管理ソリューションベンダー各社からコメントを頂いています。
<日本CA株式会社からのコメント>
日本CA株式会社は、この度のNRIセキュア様との販売代理店契約の締結によって、日本のお客様に更なる価値を提供できることを確信しています。今日、フィンテックをはじめとした様々なビジネス領域でデジタル・トランスフォーメーションが加速しています。企業はより早く、また、セキュアにAPIの公開、連携、活用を実現することにより、新しい価値の創出が可能になります。今後は両社の強みを活かし、お客様のサービスやビジネス価値の向上に貢献してまいります。
日本CA株式会社 社長 反町 浩一郎 氏
<ForgeRock US, Inc.からのコメント>
ForgeRock has been collaborating with NRI for years as a solution provider and will work with NRI SecureTechnologies to bring Digital Solutions to the Fintech space.
ForgeRock US, Inc. Vice President, Asia Pacific and Japan John Donovan氏
<Authlete Japanからのコメント>
世界有数のテック企業群でさえ認可サーバーの実装に不備があります。潤沢な開発リソースがあっても高度な専門知識がなければ、セキュリティリスクを抱えてしまうのです。また、認証処理自体に署名・暗号化を施すOpenID Connectという仕様を最大限に活用するためにも、専門知識が必要です。安全かつ最先端のシステム構築、ひいてはAPIエコノミーの健全な発展にとって、セキュリティ専門家による本サービスの提供は大変貴重です。
Authlete Japan 代表取締役 川崎 貴彦 氏
ニュースに関するお問い合わせ
NRIセキュアテクノロジーズ株式会社 広報担当
E-mail:info@nri-secure.co.jp