サービスのAPI化による利点
デジタルトランスフォーメーションにおいて、サービスをAPIとして公開することは不可欠と言えます。サービスのAPI化には以下のような多くの利点があり、APIファーストなシステム開発を採用する動きは今後さらに加速すると考えられます。
- API公開による自社サービス活用の促進
- API連携による新しい顧客体験の創造
- 多様なフロントエンドに対して、バックエンドAPIを共通化することによる開発の省力化
- マイクロサービス化による開発・運用の効率化
APIにおいて陥りがちなセキュリティ上の問題
一方で、APIにおいては旧来の画面ベースのWebアプリケーションとは異なる観点でのセキュリティ対策が求められます。また、APIを外部に公開するという観点では、APIの利用を認可するフローの不備により、思いがけぬセキュリティ上の問題を作り込んでしまう場合があります。
- ブラウザやモバイルアプリの画面上の挙動を元に設計やテストを行なってしまうことで、その背後で利用されているAPI自体のセキュリティが十分に考慮されない
- APIで利用される要素技術や標準フレームワークを十分に理解していない技術者がセキュリティを確認することで、重大なセキュリティ上の問題を見落としてしまう
- 公開するAPIの想定ユースケースや全体のアーキテクチャを理解していない技術者がセキュリティを確認することで、適切なセキュリティ評価ができない。
- APIの認可フローやトークンの取り扱いの不備によって不正にAPIを利用されてしまう
概要
本サービスでは、APIで用いられる要素技術や標準フレームワークを実装レベルで理解した技術者が、APIのユースケースや連携先サービスの特性を踏まえて、セキュリティ上の問題点を洗い出す、2つのプランを提供しています。
APIセキュリティ診断
既に稼働しているAPIに対して実際にアクセスをしながら、疑似攻撃を通じてセキュリティ上の問題点を洗い出します。
APIセキュリティ設計レビュー
API仕様書やシステム構成図を元に机上でセキュリティ対策状況を評価します。
特長
- 熟練した技術者の手動の診断により、APIの認可やアプリケーションのロジックに関わる脆弱性の洗い出しが可能
- OAuth2.0 / OpenID Connectといった標準フレームワークで求められるセキュリティプラクティスにNRIセキュア独自の観点を加えた診断項目
- 事前にAPI仕様書やシステム構成図、APIのユースケースのヒアリング等のインプットを行なうことで、適切なリスク評価が可能
- REST やGraphQLといったAPI特有のデザインや、サーバレスやマイクロサービス構成といった環境も対応
提供オプション
APIセキュリティ診断およびAPIセキュリティ設計レビューでは、対象環境に合わせて以下のオプションを提供可能です。
OAuth / Open ID Connect特化型 診断/設計レビュー
- 認可やID連携の仕組みにOAuthやOpen ID Connectを利用したAPI環境に対して、認可サーバやクライアント、リソースAPIといった各役割を考慮したセキュリティ評価を行います。
- 外部サービス向けに認可を提供するケースや、外部サービスから認可を受けるケースにおいても、それぞれの立場に基づいて必要なセキュリティ観点を提示可能です。
FAPI(Financial-grade API※)セキュリティプロファイル評価
- 高度なセキュリティが求められる金融機関API向けの標準であるFAPIで定められたセキュリティ要件を基に、APIのセキュリティプロファイルを評価します。
- FAPI Part1(Read only API)、Part2(Read & Write API)の観点に加え、認可フローにCIBA(OpenID Connect Client Initiated Backchannel Authentication Flow)を利用したプロファイルにも対応可能です。
※Financial-grade API:
OpenID FoundationのFAPI Working Groupにより検討されている⾦融機関向けのAPI要件のこと。現時点では、まだドラフトの段階で完成はしていないものの、OAuth2.0の拡張仕様の策定を牽引しているOpenID Foundationが推進していることもあり、今後の⾦融業界におけるAPIのセキュリティ要件のスタンダードとなる可能性がある。金融機関は、自社のAPIにFAPIの要求仕様を採り入れることで、より高度なセキュリティを確保できるとともに、⾦融業界のAPIエコシステムに適合しやすい仕様になることが期待できる。
サービスご提供フロー
料金
個別お見積もり
