Web APIのセキュリティ保護、包括管理機能を提供する「CA Layer 7」
「モバイル/IoT時代にWeb APIの保護と管理を」CAが新製品
2014年04月11日 06時00分更新
CA Technologiesは4月10日、Web APIのセキュリティ保護と包括的管理の機能を提供する製品群「CA Layer 7」の国内販売を開始した。クラウドやモバイル、IoT(Internet of Things)の普及により利用が加速するWeb APIの開発から運用、マネタイズまでの幅広いニーズを支援する。
Layer 7 Technologiesは2002年に米国で設立された。2013年6月にCAが同社を買収し、API保護/管理技術はCAのセキュリティポートフォリオに統合されている。大手顧客としては米サヴィス、フランステレコム(Orange)、アラスカ航空などがある。
今回国内発売されたCA Layer 7は、「CA Layer 7 API Gateways」「同 API Portal」「同 Enterprise Service Manager」という3製品により構成されている。Amazon Web Services(AWS)およびVMware向けの仮想アプライアンス、およびソフトウェアで提供される。
このうちコア機能を提供するのがAPI Gatewaysで、ロードバランサとアプリケーションサーバー(APIサーバー)の中間でゲートウェイ(プロキシ)として機能する。このとき、ソースのAPIを提供する既存のアプリケーションを書き換える必要はない。
このゲートウェイでは、管理者が定義したポリシーに基づいて、各種認証やシングルサインオン(SSO)への対応、アクセス制御、DoS攻撃やアプリケーションレベル攻撃に対する防御、キャッシングによるアクセス高速化、帯域管理や優先制御といった機能を、APIサーバーに代わって提供する。なお、認証に関しては同社のSSO基盤製品「CA SiteMinder」との連係も可能だ(関連記事)。
また、SOAPやRESTといったAPIのプロトコル/フォーマットをリアルタイムに変換する機能、データベース上のデータや、複数のソースAPIを連係させたものをマッシュアップし、新たなAPIとして公開できる機能(API仮想化機能)も備えている。こうした操作や個々のAPIに対するポリシー定義は、GUIの管理画面からノンプログラミングで行えるようになっている。
API Portalは、Web API開発をサポートする機能を提供する製品だ。組織内の各部門が構築したAPIを統合管理するほか、社内外の開発者を一元管理する機能、開発者やユーザーのコミュニケーションを促進するフォーラム機能、ドキュメント共有/公開機能を備える。個々のAPIについての利用分析やレポート機能もある。
Enterprise Service Manager(ESM)は、複数台のAPI Gatewaysを統合し、開発~テスト~本番というAPIのライフサイクルを管理する。開発環境からテスト環境、本番環境へと迅速にAPIを展開することができるようになり、アジャイル開発にも柔軟に対応する。
ライセンス体系は、本番環境用とノンプロダクション(非本番環境用)に分かれており、VMware仮想アプライアンスはCPU課金、AWS AMIはインスタンス課金となっている。参考価格は、API Gatewaysが780万円/1CPU、API Portalが650万円/1CPU、ESMが104万円/1ゲートウェイ。
「Web APIにもWebアプリケーションと同等のセキュリティを」
同日の発表会でCA セキュリティソリューション担当部長の大友淳一氏は、クラウドやモバイル、IoTの普及によってWeb APIの活用機会が増えるなかで、APIの適切な保護や管理が必要になっていることを説明した。
また、アプリケーション開発においても、クラウドサービスやパートナーから提供される機能やデータを取り込んで利用するケースが増えている。大友氏は、こうしたパッチワーク式の開発では「セキュリティ面において、抜け落ちてしまう(誰も注視していないような)部分が出てくる」と指摘する。
大友氏は、Layer 7では、アプリケーションサーバーに余計な負荷をかけることなく、「これまでWebアプリケーションに適用されてきたセキュリティレベルを、Web APIにも提供する」と述べる。さらに、SOAP APIとREST API間の変換、複数APIのマッシュアップ、SAML OAuth、OpenIDなどを利用したソーシャルログインといった機能を、簡単に利用できることを紹介した。
なおCAでは、4月11日に東京で「API Academy ~APIストラテジ・ワークショップ」というイベントを開催する。「エンタープライズ領域でもコンシューマー領域でも、日本ではまだWeb APIを使ったシステムを開発するケースが少ない」ため、そうしたアプリケーション開発の啓蒙も同時に進めていくと、大友氏は説明した。