APIで用いられる要素技術や標準フレームワークを
実装レベルで理解した技術者が、セキュリティ上の問題点を洗い出す
デジタルトランスフォーメーションにおいて、サービスをAPIとして公開することは不可欠と言えます。サービスのAPI化には以下のような多くの利点があり、APIファーストなシステム開発を採用する動きは今後さらに加速すると考えられます。
一方で、APIにおいては旧来の画面ベースのWebアプリケーションとは異なる観点でのセキュリティ対策が求められます。また、APIを外部に公開するという観点では、APIの利用を認可するフローの不備により、思いがけぬセキュリティ上の問題を作り込んでしまう場合があります。
本サービスでは、APIで用いられる要素技術や標準フレームワークを実装レベルで理解した技術者が、APIのユースケースや連携先サービスの特性を踏まえて、セキュリティ上の問題点を洗い出す、2つのプランを提供しています。
既に稼働しているAPIに対して実際にアクセスをしながら、疑似攻撃を通じてセキュリティ上の問題点を洗い出します。
API仕様書やシステム構成図を元に机上でセキュリティ対策状況を評価します。
APIセキュリティ診断およびAPIセキュリティ設計レビューでは、対象環境に合わせて以下のオプションを提供可能です。
※Financial-grade API:
OpenID FoundationのFAPI Working Groupにより検討されている⾦融機関向けのAPI要件のこと。現時点では、まだドラフトの段階で完成はしていないものの、OAuth2.0の拡張仕様の策定を牽引しているOpenID Foundationが推進していることもあり、今後の⾦融業界におけるAPIのセキュリティ要件のスタンダードとなる可能性がある。金融機関は、自社のAPIにFAPIの要求仕様を採り入れることで、より高度なセキュリティを確保できるとともに、⾦融業界のAPIエコシステムに適合しやすい仕様になることが期待できる。
個別お見積もり