NRIセキュアのAPIセキュリティ診断サービスが進化
デジタルビジネスの進展に伴い、企業はAPIを利用して自社のWebサービスを外部に公開する姿勢が強まっています。その結果、他のシステムとの連携を図り、サービス内容の充実および価値向上を目指す企業が増加しています。しかし、APIの特性上、従来のWebアプリケーションとは異なる複雑なセキュリティ対策が求められます。具体的には、APIの利用状況や全体的な仕組みを理解し、適切な対策を立てる必要があります。加えて、外部公開したAPIに関しては、利用権限の不備が潜在的なセキュリティリスクを引き起こす可能性があるため、注意が必要です。
NRIセキュアは、2016年からAPI関連のセキュリティ診断サービスを提供し、多くの企業で利用されてきました。これにより、専門的な技術者がAPIの実装や利用ケースを把握し、各プロジェクトにおけるセキュリティ上の課題点を特定し、効果的な対策を提案できる体制を整えています。今回のサービス刷新では、特に重要な要素として「APIセキュリティ設計レビュー」および「APIセキュリティ診断」の2つの診断メニューを新設しました。
新たな診断メニューの詳細
「APIセキュリティ設計レビュー」は、API仕様書やシステム構成図をもとに行う机上評価で、API設計の初期段階からセキュリティを考慮するための診断です。このプロセスにより、設計段階で見落とされがちなリスクを発見し、適切な対策を提案することが可能です。それに加えて、実際の脆弱性を検証する「APIセキュリティ診断」では、疑似攻撃を通じて問題点を洗い出します。
また、本サービスでは認可やID連携に関連する「OAuth2.0」と「OpenID Connect」にNRIセキュア独自の視点を加えた診断項目を設けています。これにより、一般的なAPI仕様に加え、RESTやGraphQL、さらにはサーバレス環境やマイクロサービスが用いられている場合でも、精度高い診断を実施することができます。
FAPI対応の新たなオプション
さらに、金融システム向けの要件であるFAPI(Financial-grade API)に基づき、APIセキュリティプロファイルの評価を行う「FAPIセキュリティプロファイル評価オプション」も提供しています。このオプションでは、FAPI Part1(Read Only API)やPart2(Read & Write API)の観点から、APIのセキュリティプロファイルを詳細に評価し、より高いセキュリティ水準を確保したい企業にとって有用なサービスです。
安全なデジタルトランスフォーメーションの支援へ
NRIセキュアは、今後も企業や組織の情報セキュリティ強化に向けた製品やサービスの提供を続け、安全で安心なデジタルトランスフォーメーションを促進する使命を担っています。これにより、企業のデジタル施策がより効果的に推進され、社会全体のセキュリティ向上につながることが期待されます。
詳細については、NRIセキュアの公式ウェブサイトを訪れてください。