NRIセキュアテクノロジーズ
OAuth2.0、OpenID Connect、FAPIなどの標準フレームワークに対応
NRIセキュアテクノロジーズ株式会社(以下「NRIセキュア」)は、企業の情報システムやクラウドサービスなどで急速に普及しつつあるAPI(Application Programming Interface) について、情報セキュリティの一層の確保を図るため、このたび「APIセキュリティ診断」サービス(以下「本サービス」)を刷新し、提供内容を拡充します。
デジタルビジネスを推進するにあたり、企業がAPIを利用して、自社のWebサービスの機能を外部に公開したり、他システムと連携させたりすることで、自社サービスの価値向上や提供範囲の拡大を図る動きが増えています。
一方で、APIは従来のWebアプリケーションとは異なり、画面上の挙動だけではなく、背後で動くAPIの要素技術や仕組みを把握した上で、セキュリティ対策を行うことが求められます。また、APIを外部に公開する場合は、APIの利用を他者に認可するフローに不備があると、気づかないうちにセキュリティ上の問題が発生していることもあります。
NRIセキュアは、2016年より本サービスを開始し、様々なシーンで利用されているAPIについて、セキュリティ診断と対策の実行を数多く支援してきました。そのため、APIで用いられる技術を実装レベルで熟知した技術者が、APIの利用例や連携先の外部サービスなど、案件ごとの特性を踏まえて、セキュリティ上の問題点を洗い出したり有効な対策を推奨したりすることが可能です。
今回、API仕様書やシステム構成図を元に、机上で評価する「APIセキュリティ設計レビュー」を新たに加え、疑似攻撃を通じてセキュリティ上の問題点を洗い出す「APIセキュリティ診断」とあわせて、2つのメニューを用意しました。
本サービスでは、認可・ID連携の標準フレームワークである「OAuth2.0」[1]と「OpenID Connect」[2]に、NRIセキュア独自の観点を加えた診断項目を基に評価します。「REST」[3]、「GraphQL」[4]といったAPI特有の仕様を採用している場合や、サーバレス[5]及びマイクロサービス[6]などの実行環境を用いる場合も、診断が可能です。
また、金融システム向けのAPIセキュリティ要件である、FAPI(Financial-grade API)[7]で定められた要件に基づき、診断対象となるAPIのセキュリティプロファイルを評価する、「FAPIセキュリティプロファイル評価オプション」[8]を提供します。
図:サービスご提供フロー
本サービスの詳細は、下記のWebサイトからご覧いただけます。
https://www.nri-secure.co.jp/service/assessment/api
NRIセキュアは、今後も企業・組織の情報セキュリティ対策を支援するさまざまな製品・サービスを提供し、社会における安全・安心なデジタルトランスフォーメーション(DX)の推進に貢献していきます。
[1] OAuth2.0:
OAuthとは、Webサービスの連携において、外部からのデータやサービスに対するアクセスを、利用者の同意に基づいて認可するためのフレームワークであり、2.0が最新バージョン(2019年12月時点)。OAuthに対応したサービス間の連携では、利用者が外部サービスにIDやパスワードを漏らすことなく、必要最低限のアクセス権限のみを委譲することができる。
[2] OpenID Connect:
Webサービスサイト間で、ユーザの同意に基づき、ID情報を流通させるための標準フレームワーク。ユーザはOpenID Connect対応サイトに登録したID情報を使って、他のOpenID Connect対応サイトにログインすることが可能となる。
[3] REST:
外部から特定のプログラムを呼び出す際に使われる、APIの規格の一つ。
[4] GraphQL:
サーバからデータを取り出すためのAPI用言語。
[5] サーバレス:
クラウドサービスを利用しているシステムにおいて、クラウド事業者が、事前にサーバリソースを割り当てることなく、任意のイベントをトリガーにリソースを割り当て、コード実行を行うこと。
[6] マイクロサービス:
アプリケーションをサービスや機能などで細かく分割して開発する手法のこと。
[7] FAPI(Financial-grade API):
米国OpenID FoundationのFAPI Working Groupにより検討されている金融機関向けのAPI要件のこと。現時点では、まだドラフトの段階で完成はしていないものの、OAuth2.0の拡張仕様の策定を牽引しているOpenID Foundationが推進していることもあり、今後の金融業界におけるAPIのセキュリティ要件のスタンダードとなる可能性が高い。金融機関は、自社のAPIにFAPIの要求仕様を採り入れることで、より高度なセキュリティを確保できるとともに、金融業界のAPIエコシステムに適合しやすい仕様になることが期待できる。
[8] 「FAPIセキュリティプロファイル評価オプション」:
NRIセキュアのこのオプションでは、FAPI Part1(Read Only API)、FAPI Part2(Read & Write API)の観点からの診断のほか、認可フローにCIBA(OpenID Connect Client Initiated Backchannel Authentication Flow)を利用したプロファイルの評価にも対応している。
【ご参考】
NRIセキュアのAPI関連サービス一覧(点線で囲んだ部分が、今回拡充したサービスの範囲)
