NRIセキュアテクノロジーズは、11月10日、FinTechやIoTサービス向けの「APIセキュリティコンサルティングサービス」を提供開始すると発表した。ウェブAPIを公開したり、活用したりする企業をセキュリティ面から支援するもの。ウェブAPIは、ウェブサイトが外部のウェブサイトやアプリケーションソフトに対し、インターネット経由でビジネスロジックやデータを公開するためのインターフェースのこと。
同サービスは、実装されたAPIに対し脆弱性が作り込まれていないかを、実際にAPIへとアクセスしながら技術的な検証をするほか、業界標準のセキュリティ仕様や有力なソリューションを適切な形で活用できるようにするためのコンサルティングを実施する。
また、NRIセキュアは、今回のサービス提供に先立ち、日本CAとの間で、国内における販売代理店契約を締結した。これにより、日本CAが提供するウェブAPIの開発、管理、運用などを支援する統合プラットフォーム「CA API Management」の販売から導入支援までを、一貫して実施できるようになった。
「APIセキュリティコンサルティングサービス」は、「APIビジネスコンサルティング」「APIアーキテクチャ策定支援」「API管理ソリューション導入支援」「APIセキュリティ診断サービス」の4つのメニューから構成されている。
「APIビジネスコンサルティング」では、ビジネス戦略におけるAPIの役割を検討し、その上でAPIの提供先、適用分野、機能を明確化し、ロードマップの策定を支援する。
「APIアーキテクチャ策定支援」では、APIビジネスの展開ロードマップをベースに、最適なAPIの設計を支援する。APIでのセキュリティの中核となる「OAuth」「OpenID Connect」の適用については、既存システムや業務フローに応じてプロファイリングする。
「API管理ソリューション導入支援」では、国内外の有力API管理ソリューションを活用して、各社のニーズに合ったAPI管理基盤の構築を支援する。
「APIセキュリティ診断サービス」では、実装されたAPIの脆弱性を技術的に検証する。開発言語、利用プラットフォーム、およびOAuth、OpenID Connectなどの認可仕様を考慮した評価項目を用意している。