APIセキュリティコンサルティングサービス

NRIセキュアテクノロジーズ株式会社  2017年11月07日

企業によるAPI提供において、業界標準のセキュリティ仕様や有力なソリューションを適切なかたちで活用することを支援

製品概要

昨今、FinTechにおける個人向け資産管理サービスや、IoTにおけるパーソナルデータの流通など、エンドユーザーのプライバシーや金銭に係る重要情報をWeb API(ウェブ・アプリケーション・プログラミング・インターフェース、以下「API」)によって扱うケースが増えています。
それに伴い、セキュリティを担保するためにはAPIをどのように設計・構築すればよいか、将来のビジネスの発展に資するAPI提供はどうあるべきかといった課題を抱える企業が多くなっています。
また日々進化するOAuthやOpenID Connectなどのオープン標準技術への準拠や、法令や業界ガイドラインへの遵守も、API提供を推進するには重要となっています。

「APIセキュリティコンサルティングサービス」は、企業によるAPI提供において、業界標準のセキュリティ仕様や有力なソリューションを適切なかたちで活用することを支援する、NRIセキュアのコンサルティングサービスです。

これまで、金融機関や製造業をはじめとする多くの企業でAPI関連のコンサルティングを実施し、さらにNRIグループとして蓄積したデジテルアイデンティティ分野の知見を元に、ビジネスパートナーや一般開発者に訴求し、かつエンドユーザーにも安心して利用してもらえるAPIの迅速な提供をサポートします。

【サービスメニュー】
・APIビジネスコンサルティング
企業のビジネス戦略におけるAPIの役割を検討し、その上でAPIの提供先(例:社内向け/パートナー向け/一般公開)、適用分野(例:既存事業/新規事業、顧客向け/従業員向け)、機能(例:参照のみ/情報更新)を明確化し、展開ロードマップの策定を支援します。

・APIアーキテクチャ策定支援
企業のAPI展開ロードマップをベースに、最適なAPIの設計を支援します。とくにAPIセキュリティの中核となる「OAuth」「OpenID Connect」などのデジタルアイデンティティ技術の適用については、既存システムや業務フローに適したプロファイリング(パラメーターやシーケンスの設計)を主導します。

・API管理ソリューション導入支援
国内外の有力API管理ソリューションを活用し、企業のニーズに合ったAPI管理基盤の構築を支援します。

・APIセキュリティ診断サービス
実装されたAPIに対し脆弱(ぜいじゃく)性が作りこまれていないかを、実際にAPIへアクセスしながら技術的な検証を行います。開発言語、利用プラットフォーム、およびOAuth、OpenID Connectなどの認可仕様を考慮した評価項目を用意しています。

特徴

<特長1>ビジネス戦略の策定からAPI管理基盤の構築・運用までをトータルに支援
APIセキュリティ施策は、それがビジネスを阻害するのではなく逆に加速させることと、ITサービスにおいて合理的に実施可能であることの双方を満たすことが重要です。そのためには、APIを活用してどのようなビジネスを企図するかを理解し、APIセキュリティを実装するためのソリューションを活用することが求められます。
NRIセキュアはNRIグループとして蓄積した「デジタルビジネス」と「デジテルアイデンティティ」分野の知見を活かし、APIビジネスの戦略立案から深くサポートします。また有力API管理ソリューションベンダーとの連携により、最適なAPI管理基盤の構築を支援します。

<特長2>「OAuth」「OpenID Connect」の活用ノウハウを提供
APIセキュリティのコアとなるオープン標準「OAuth」「OpenID Connect」について、豊富な経験をベースに、お客様のAPIに合わせた適用を支援します。具体的には、既存の認証・認可システムの機能、提供するAPIの内容、APIを利用する外部事業者の特性などを鑑み、「認証・認可シーケンス」の策定や、アクセス権限情報の体系化などを主導し、サービスやエンドユーザーの情報のセキュアな流通環境の確立を支援します。

<特長3>セキュリティ専業ベンダーとしての総合力
NRIセキュアは20年以上、金融業界を中心に、官公庁、流通、製造、製薬、通信、マスコミ、サービス業等2000社以上に情報セキュリティ対策を支援してきました。「セキュリティ・コンサルティング」「組織内CSIRT総合支援」「セキュリティ診断/設計開発支援」など、APIセキュリティをとりまく組織やシステムの整備・対策についても、広範な支援をご提供します。