編集部からのお知らせ
Pick up! ローコード開発の行方
「これからの企業IT」の記事はこちら

NRIセキュア、自社サービス「APIセキュリティ診断」を刷新

大場みのり (編集部)

2019-12-18 16:16

 NRIセキュアテクノロジーズ(NRIセキュア)は12月18日、実装されたAPI(Application Programming Interface)に脆弱性がないかを技術的に検証するサービス「APIセキュリティ診断」を拡充すると発表した。

 デジタルビジネスの推進に当たり、企業がAPIを用いて自社のウェブサービスの機能を外部に公開したり、他システムと連携させたりすることで、自社サービスの価値向上や提供範囲の拡大を図る動きが増えているという。

 一方で、APIは従来のウェブアプリケーションとは異なり、画面上の挙動だけでなく背後で動くAPIの要素技術や仕組みを把握した上で、セキュリティ対策を行うことが求められるとNRIセキュアは説明する。またAPIを外部に公開する場合は、APIの利用を他者に認可する流れに不備があると、気付かないうちにセキュリティ上の問題が発生していることもあるという。

 NRIセキュアは2016年にAPIセキュリティ診断を開始し、APIにおけるセキュリティの診断と対策を支援してきた。そのため、APIで用いられる技術を搭載するレベルまで熟知した技術者が、APIの利用例や連携先の外部サービスといった案件ごとの特性を踏まえて、セキュリティ上の問題点を洗い出したり有効な対策を推奨したりすることが可能だとしている。

 今回刷新されたAPIセキュリティ診断では、認可・ID連携の標準フレームワーク「OAuth2.0」「OpenID Connect」に、NRIセキュアの観点を加えた診断項目を基に評価。「REST」「GraphQL」といったAPI特有の仕様を採用している場合や、サーバーレスおよびマイクロサービスなどの実行環境を用いる場合でも診断が可能だという。そしてAPIセキュリティ診断に加え、API仕様書やシステム構成図を基に机上で評価する「APIセキュリティ設計レビュー」も提供する。

 加えて、FAPI(Financial-grade API:金融システム向けのAPI要件)で定められた要件に基づき、診断対象となるAPIのセキュリティプロファイルを評価する「FAPIセキュリティプロファイル評価オプション」を提供。FAPI Part1(Read Only API)、FAPI Part2(Read & Write API)の観点からの診断の他、認可フローにCIBA(OpenID Connect Client Initiated Backchannel Authentication Flow)を利用したプロファイルの評価にも対応しているという。

サービス提供の流れ(出典:NRIセキュア) サービス提供の流れ(出典:NRIセキュア)
※クリックすると拡大画像が見られます

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    社員の生産性を約2倍まで向上、注目の企業事例から学ぶDX成功のポイント

  2. コミュニケーション

    真の顧客理解でCX向上を実現、いまさら聞けない「データドリブンマーケティング」入門

  3. クラウドコンピューティング

    家庭向けIoT製品の普及とともに拡大するセキュリティとプライバシー問題─解決策を知ろう

  4. クラウドコンピューティング

    クラウドの障害対策を徹底解説!4つの方法とメリット、デメリット

  5. セキュリティ

    サイバー犯罪の標的となるMicrosoft製品、2019年に悪用された脆弱性リストからの考察

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]