編集部からのお知らせ
「ZDNet Japan Summit」参加登録受付中! 
新着記事集:「負荷分散」

NRIセキュア、自社サービス「APIセキュリティ診断」を刷新

大場みのり (編集部)

2019-12-18 16:16

 NRIセキュアテクノロジーズ(NRIセキュア)は12月18日、実装されたAPI(Application Programming Interface)に脆弱性がないかを技術的に検証するサービス「APIセキュリティ診断」を拡充すると発表した。

 デジタルビジネスの推進に当たり、企業がAPIを用いて自社のウェブサービスの機能を外部に公開したり、他システムと連携させたりすることで、自社サービスの価値向上や提供範囲の拡大を図る動きが増えているという。

 一方で、APIは従来のウェブアプリケーションとは異なり、画面上の挙動だけでなく背後で動くAPIの要素技術や仕組みを把握した上で、セキュリティ対策を行うことが求められるとNRIセキュアは説明する。またAPIを外部に公開する場合は、APIの利用を他者に認可する流れに不備があると、気付かないうちにセキュリティ上の問題が発生していることもあるという。

 NRIセキュアは2016年にAPIセキュリティ診断を開始し、APIにおけるセキュリティの診断と対策を支援してきた。そのため、APIで用いられる技術を搭載するレベルまで熟知した技術者が、APIの利用例や連携先の外部サービスといった案件ごとの特性を踏まえて、セキュリティ上の問題点を洗い出したり有効な対策を推奨したりすることが可能だとしている。

 今回刷新されたAPIセキュリティ診断では、認可・ID連携の標準フレームワーク「OAuth2.0」「OpenID Connect」に、NRIセキュアの観点を加えた診断項目を基に評価。「REST」「GraphQL」といったAPI特有の仕様を採用している場合や、サーバーレスおよびマイクロサービスなどの実行環境を用いる場合でも診断が可能だという。そしてAPIセキュリティ診断に加え、API仕様書やシステム構成図を基に机上で評価する「APIセキュリティ設計レビュー」も提供する。

 加えて、FAPI(Financial-grade API:金融システム向けのAPI要件)で定められた要件に基づき、診断対象となるAPIのセキュリティプロファイルを評価する「FAPIセキュリティプロファイル評価オプション」を提供。FAPI Part1(Read Only API)、FAPI Part2(Read & Write API)の観点からの診断の他、認可フローにCIBA(OpenID Connect Client Initiated Backchannel Authentication Flow)を利用したプロファイルの評価にも対応しているという。

サービス提供の流れ(出典:NRIセキュア) サービス提供の流れ(出典:NRIセキュア)
※クリックすると拡大画像が見られます

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    Google Cloudセキュリティ基盤ガイド、設計から運用までのポイントを網羅

  2. セキュリティ

    仮想化・自動化を活用して次世代データセンターを構築したJR東日本情報システム

  3. ビジネスアプリケーション

    スモールスタート思考で業務を改善! 「社内DX」推進のためのキホンを知る

  4. セキュリティ

    Emotetへの感染を導く攻撃メールが多数報告!侵入を前提に対応するEDRの導入が有力な解決策に

  5. セキュリティ

    偽装ウイルスを見抜けず水際対策の重要性を痛感!竹中工務店が実施した2万台のPCを守る方法とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]