NRIセキュアテクノロジーズ(NRIセキュア)は11月10日、電子商取引などのITサービスを行う企業が、Web APIの公開や活用を行うにあたって、セキュリティの面からそれを支援する「APIセキュリティコンサルティングサービス」を、同日から提供開始することを発表した。
APIセキュリティコンサルティングサービスは、「APIビジネスコンサルティング」「APIアーキテクチャ策定支援」「API管理ソリューション導入支援」「APIセキュリティ診断サービス」の4つのメニューから構成されている。
各サービスの特徴として、APIビジネスコンサルティングは各社のビジネス戦略におけるAPIの役割を検討し、その上で各社がAPIを提供する先(例: 社内向け/パートナー向け/一般公開)、適用分野(例: 既存事業/新規事業、顧客向け/従業員向け)、機能(例: 参照のみ/情報更新)を明確化し、APIを活用したビジネスの展開ロードマップの策定を支援する。
APIアーキテクチャ策定支援は、上記で作成したAPIビジネスの展開ロードマップをベースに、最適なAPIの設計を支援する。特にAPIでセキュリティの中核となる「OAuth」「OpenID Connect」の適用については、既存システムや業務フローに適したプロファイリング(パラメーターやシークエンスの設計)を行い、APIを利用する外部のサービス事業者にとって接続しやすく、同時にエンドユーザーが許可しないかたちでのAPI活用を防止するアーキテクチャを検討する。
API管理ソリューション導入支援は国内外の有力API管理ソリューションを活用して、各社のニーズに合ったAPI管理基盤の構築を支援するほか、APIセキュリティ診断サービスは実装されたAPIに対し脆弱性が作りこまれていないかを、実際にAPIへアクセスしながら技術的な検証を行う。
