NRIセキュアテクノロジーズ(NRIセキュア)は12月18日、実装されたAPI(Application Programming Interface)に脆弱性がないかを技術的に検証するサービス「APIセキュリティ診断」を拡充すると発表した。
デジタルビジネスの推進に当たり、企業がAPIを用いて自社のウェブサービスの機能を外部に公開したり、他システムと連携させたりすることで、自社サービスの価値向上や提供範囲の拡大を図る動きが増えているという。
一方で、APIは従来のウェブアプリケーションとは異なり、画面上の挙動だけでなく背後で動くAPIの要素技術や仕組みを把握した上で、セキュリティ対策を行うことが求められるとNRIセキュアは説明する。またAPIを外部に公開する場合は、APIの利用を他者に認可する流れに不備があると、気付かないうちにセキュリティ上の問題が発生していることもあるという。
NRIセキュアは2016年にAPIセキュリティ診断を開始し、APIにおけるセキュリティの診断と対策を支援してきた。そのため、APIで用いられる技術を搭載するレベルまで熟知した技術者が、APIの利用例や連携先の外部サービスといった案件ごとの特性を踏まえて、セキュリティ上の問題点を洗い出したり有効な対策を推奨したりすることが可能だとしている。
今回刷新されたAPIセキュリティ診断では、認可・ID連携の標準フレームワーク「OAuth2.0」「OpenID Connect」に、NRIセキュアの観点を加えた診断項目を基に評価。「REST」「GraphQL」といったAPI特有の仕様を採用している場合や、サーバーレスおよびマイクロサービスなどの実行環境を用いる場合でも診断が可能だという。そしてAPIセキュリティ診断に加え、API仕様書やシステム構成図を基に机上で評価する「APIセキュリティ設計レビュー」も提供する。
加えて、FAPI(Financial-grade API:金融システム向けのAPI要件)で定められた要件に基づき、診断対象となるAPIのセキュリティプロファイルを評価する「FAPIセキュリティプロファイル評価オプション」を提供。FAPI Part1(Read Only API)、FAPI Part2(Read & Write API)の観点からの診断の他、認可フローにCIBA(OpenID Connect Client Initiated Backchannel Authentication Flow)を利用したプロファイルの評価にも対応しているという。
サービス提供の流れ(出典:NRIセキュア)
※クリックすると拡大画像が見られます
NRIセキュアのAPI関連サービス一覧(点線で囲んだ部分が今回拡充したサービスの範囲)(出典:NRIセキュア)
※クリックすると拡大画像が見られます
