コミュニティ
HPE Blog, Japan
1819805 メンバー
3041 オンライン
109607 解決策
新規ポスト
 
RSS フィードを購読する
|
IceWall_Mktg

拡大するAPIエコノミー:高まる「APIセキュリティ」の重要性とOpenID Connectが担う役割とは?

‎02-05-2025 04:29 PM

企業の円滑な業務を支える上でITシステムは欠かせません。これをさらに有効活用する上で重要なのが、システム間のシームレスな連携です。そこでは自社内、また外部のシステムとの連携手法としてWeb APIがフル活用されています。

しかし、こうした連携手法が広まる中で、この部分がサイバー攻撃の標的になるという課題もあります。
本記事では、より重要性が高まるAPI連携の概要とその安全性を確保するための考え方を、標準規格であるOpenID Connectを踏まえながら解説します。

 

より重要性を増すAPI連携

 近年、ビジネスのデジタル化が進む中でITシステムやデータ、サービスの連携を担う技術としてWeb APIの重要性が高まっています。

 システム間のデータ連携手法としては、CSVファイルを介したデータ取り込みや、Webスクレイピング、企業間同士のデータ連携であればEDI(電子データ交換)などさまざまな手法が用いられてきました。その中で現在では、企業内・企業横断にかかわらずAPIを用いたデータ連携が広がっています。

 

オープンAPIAPIエコノミーの概念が登場

しかし、昨今ではAPI活用は企業間をつなぐための仕組みとして注目を集めるようになりました。その具体例は数多くあります。

例えば銀行などの金融機関が自社の金融システムの持つ機能をAPIとして提供し、SaaS企業がそれを活かした家計簿サービスなどを提供しています。API連携されていることで、家計簿サービスを利用するユーザーは、わざわざ金融機関のサービスサイトにアクセスし、IDとパスワードを入力するといった手間をかけずとも、自身の資産や収入/支出を家計簿サービスから管理できるようになります。

 同じように、配車サービス企業のAPIを使ってホテル・旅行事業者はサービスを開発することで、ユーザーはこれらの事業者のサービス上からシームレスに配車サービスを利用できるようになります。さらに、自動車メーカーが公開した走行データ(自動車テレマティクス)を取り込み、保険会社が移動距離や運転特性に応じた自動車保険を提供するといったユースケースもあります。

前編-250121_(図版1-完成)APIセキュリティ.jpg

 このように、自社のサービスやシステムのAPIを他の事業者に公開して自由にアプリケーションに組み込んでもらうAPIの考え方は、かつての閉じたAPIの使い方に対して「オープンAPI」と呼ばれています。さらに、このAPIによってさまざまなアプリケーションがオンライン上でつながり価値を形成する仕組みは「APIエコノミー」と呼ばれます。

APIを提供する側は、「API利用料」として収益源を得ることができたり自社のサービスを間接的にユーザーに広めたりするメリットがあり、APIを自社のサービスに組み込む企業側は、必要な機能をゼロから開発する手間の省力化やシームレスなユーザーエクスペリエンスをサービス利用者に提供できるメリットがあります。

このようなオープンAPIの考えを活かしながらプラットフォーム戦略を実践し、エコシステムを拡大させることで、競争優位を実現する企業も増えてきています。

 

API活用とともに生じるセキュリティの課題

 APIエコノミーとオープンAPIの概念が広がる中、より重要性を増してきたのがAPIセキュリティです。つまり、APIを通じて情報を安全にやりとりするための対策が求められています。

もっとも、セキュリティ対策はサービス連携において以前からの課題でもあります。かつては、事業者間の連携においてWebスクレイピングを使って実装しているケースが多くありました。この場合、例えばFinTech企業が金融機関の情報を取得するというシーンでは、FinTechサービスユーザーは、事前にFinTech事業者に自身の金融機関のパスワードを預け、そのうえで、FinTech事業者は利用者から預かった認証情報を使って金融機関のWebサイトに自動的にログインし情報を取得します。

ここで課題になるのは、Webスクレイピングの実装はサービス事業者にとって開発負荷が高く、セキュリティ実装が後回しになりやすいという点です。また、ユーザーは、パスワードを含むログイン情報をサービス事業者に預けなければなりません。

 オープンAPIによる連携はこうしたセキュリティ課題を解消するものです。さらに、サービス事業者にとって実装と維持が容易です。ユーザーとしては連携先(ここでは金融機関)へアクセス許可を行うことで、サービス事業者は利用者のパスワードを含むログインに必要な機密情報を保持することなく、金融機関側と連携してデータを取得できるようになります。

 もちろん、以前より安全になったとはいえ、オープンAPIを採用すれば必ずセキュリティが担保できるわけではありません。APIの実装の不備や脆弱性を狙ったサイバー攻撃が増えており、実際に、過去にはSaaS事業者やSNS事業者などのサービス機密情報が流出するという事故も発生しています。

 APIに対する攻撃はさまざまな種類があります。APIキーなど、連携に必要な認証情報を窃取して行う不正アクセスといった行為や、通信内容を傍受してデータを読み取ったり改ざんしたりする攻撃もあります。また、APIで通信する先に大量のリクエストを送ってサーバーに過度な負荷をかけ、サービスをダウンさせるいわゆる「DDoS攻撃」もあります。

 

API連携のセキュリティを強化するOIDC  

 APIセキュリティを実現するためにはさまざまなアプローチがあります。中でも重要になるのは、「認証・認可」です。APIキーやアクセストークンを適切に管理することはもちろん、追加の認証レイヤーを導入したり、最小限の権限でリソースへアクセスできるようにしたりして、不正アクセスのリスクを減らします。

しかし、さまざまな企業同士でAPI連携の仕組みが構築された場合、サービス事業者ごとに認証・認可の方式で独自の仕様が散在してしまえば、管理が非常に煩雑になり、しかもそれによってセキュリティホールが生じてしまうこともあるかもしれません。

そこで、セキュアなWebサービス連携を実現するために業界団体によって標準化された認証・認可のプロトコルとして「OpenID ConnectOIDC)」が開発されています。企業はこれに準拠した実装を行うことが重要となります。

前編-250121_(図版2-完成)APIセキュリティ.jpg

 

 OIDCは認証の確実性という点はもちろん、標準化された規格であり、これを採用することでセキュリティの統一性を確保できるようになるのが大きなメリットです。すでに世の中にはOIDCに準拠した機能を提供する認証基盤製品があり、HPEでも「HPE IceWall」というソリューションを提供しています。

IceWallでは、既存のアプリケーションと連携しながら「個人情報保護法に則ったユーザー利用同意の設定」といった、きめ細やかなカスタマイズが可能です。お客様のビジネスニーズに合わせた安心・安全なシステム環境の構築をサポートします。

 

関連記事:AIエージェント活用の本格化を機に検討するべきAPIセキュリティ対策

 

0 感謝
作者について

IceWall_Mktg

コラム:氷壁エキスパートノート |  HPEの認証・認可プラットフォーム「HPE IceWall」を開発するIceWallビジネス推進部が、認証にまつわる新常識を発信します。

最新のコメント
過去 30 日間で最も評価の高い著者
Author
Kudos
Sustainable_JP Avatar
Sustainable_JP
3
Kogumasaka Avatar
Kogumasaka
2
すべて表示
上記の意見は、Hewlett Packard Enterpriseではなく、著者の個人的な意見です。 このサイトを使用することで、利用規約と参加規約に同意したことになります