NRIセキュア、自社サービス「APIセキュリティ診断」を刷新

大場みのり (編集部)

2019-12-18 16:16

 NRIセキュアテクノロジーズ(NRIセキュア)は12月18日、実装されたAPI(Application Programming Interface)に脆弱性がないかを技術的に検証するサービス「APIセキュリティ診断」を拡充すると発表した。

 デジタルビジネスの推進に当たり、企業がAPIを用いて自社のウェブサービスの機能を外部に公開したり、他システムと連携させたりすることで、自社サービスの価値向上や提供範囲の拡大を図る動きが増えているという。

 一方で、APIは従来のウェブアプリケーションとは異なり、画面上の挙動だけでなく背後で動くAPIの要素技術や仕組みを把握した上で、セキュリティ対策を行うことが求められるとNRIセキュアは説明する。またAPIを外部に公開する場合は、APIの利用を他者に認可する流れに不備があると、気付かないうちにセキュリティ上の問題が発生していることもあるという。

 NRIセキュアは2016年にAPIセキュリティ診断を開始し、APIにおけるセキュリティの診断と対策を支援してきた。そのため、APIで用いられる技術を搭載するレベルまで熟知した技術者が、APIの利用例や連携先の外部サービスといった案件ごとの特性を踏まえて、セキュリティ上の問題点を洗い出したり有効な対策を推奨したりすることが可能だとしている。

 今回刷新されたAPIセキュリティ診断では、認可・ID連携の標準フレームワーク「OAuth2.0」「OpenID Connect」に、NRIセキュアの観点を加えた診断項目を基に評価。「REST」「GraphQL」といったAPI特有の仕様を採用している場合や、サーバーレスおよびマイクロサービスなどの実行環境を用いる場合でも診断が可能だという。そしてAPIセキュリティ診断に加え、API仕様書やシステム構成図を基に机上で評価する「APIセキュリティ設計レビュー」も提供する。

 加えて、FAPI(Financial-grade API:金融システム向けのAPI要件)で定められた要件に基づき、診断対象となるAPIのセキュリティプロファイルを評価する「FAPIセキュリティプロファイル評価オプション」を提供。FAPI Part1(Read Only API)、FAPI Part2(Read & Write API)の観点からの診断の他、認可フローにCIBA(OpenID Connect Client Initiated Backchannel Authentication Flow)を利用したプロファイルの評価にも対応しているという。

サービス提供の流れ(出典:NRIセキュア) サービス提供の流れ(出典:NRIセキュア)
※クリックすると拡大画像が見られます

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  2. セキュリティ

    マンガでわかる脆弱性“診断”と脆弱性“管理”の違い--セキュリティ体制の強化に脆弱性管理ツールの活用

  3. セキュリティ

    クラウドセキュリティ管理導入による投資収益率(ROI)は264%--米フォレスター調査レポート

  4. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

  5. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]