このページの本文へ

NRIセキュア、「APIセキュリティ診断」サービスを刷新

NRIセキュアテクノロジーズ
2019年12月18日

  • この記事をはてなブックマークに追加
  • シェア
  • 一覧
  • 本文印刷

NRIセキュアテクノロジーズ
OAuth2.0、OpenID Connect、FAPIなどの標準フレームワークに対応

NRIセキュアテクノロジーズ株式会社(以下「NRIセキュア」)は、企業の情報システムやクラウドサービスなどで急速に普及しつつあるAPI(Application Programming Interface) について、情報セキュリティの一層の確保を図るため、このたび「APIセキュリティ診断」サービス(以下「本サービス」)を刷新し、提供内容を拡充します。


デジタルビジネスを推進するにあたり、企業がAPIを利用して、自社のWebサービスの機能を外部に公開したり、他システムと連携させたりすることで、自社サービスの価値向上や提供範囲の拡大を図る動きが増えています。

一方で、APIは従来のWebアプリケーションとは異なり、画面上の挙動だけではなく、背後で動くAPIの要素技術や仕組みを把握した上で、セキュリティ対策を行うことが求められます。また、APIを外部に公開する場合は、APIの利用を他者に認可するフローに不備があると、気づかないうちにセキュリティ上の問題が発生していることもあります。

NRIセキュアは、2016年より本サービスを開始し、様々なシーンで利用されているAPIについて、セキュリティ診断と対策の実行を数多く支援してきました。そのため、APIで用いられる技術を実装レベルで熟知した技術者が、APIの利用例や連携先の外部サービスなど、案件ごとの特性を踏まえて、セキュリティ上の問題点を洗い出したり有効な対策を推奨したりすることが可能です。

今回、API仕様書やシステム構成図を元に、机上で評価する「APIセキュリティ設計レビュー」を新たに加え、疑似攻撃を通じてセキュリティ上の問題点を洗い出す「APIセキュリティ診断」とあわせて、2つのメニューを用意しました。

本サービスでは、認可・ID連携の標準フレームワークである「OAuth2.0」[1]と「OpenID Connect」[2]に、NRIセキュア独自の観点を加えた診断項目を基に評価します。「REST」[3]、「GraphQL」[4]といったAPI特有の仕様を採用している場合や、サーバレス[5]及びマイクロサービス[6]などの実行環境を用いる場合も、診断が可能です。

また、金融システム向けのAPIセキュリティ要件である、FAPI(Financial-grade API)[7]で定められた要件に基づき、診断対象となるAPIのセキュリティプロファイルを評価する、「FAPIセキュリティプロファイル評価オプション」[8]を提供します。

図:サービスご提供フロー


本サービスの詳細は、下記のWebサイトからご覧いただけます。
https://www.nri-secure.co.jp/service/assessment/api

NRIセキュアは、今後も企業・組織の情報セキュリティ対策を支援するさまざまな製品・サービスを提供し、社会における安全・安心なデジタルトランスフォーメーション(DX)の推進に貢献していきます。


[1] OAuth2.0:
OAuthとは、Webサービスの連携において、外部からのデータやサービスに対するアクセスを、利用者の同意に基づいて認可するためのフレームワークであり、2.0が最新バージョン(2019年12月時点)。OAuthに対応したサービス間の連携では、利用者が外部サービスにIDやパスワードを漏らすことなく、必要最低限のアクセス権限のみを委譲することができる。

[2] OpenID Connect:
Webサービスサイト間で、ユーザの同意に基づき、ID情報を流通させるための標準フレームワーク。ユーザはOpenID Connect対応サイトに登録したID情報を使って、他のOpenID Connect対応サイトにログインすることが可能となる。

[3] REST:
外部から特定のプログラムを呼び出す際に使われる、APIの規格の一つ。

[4] GraphQL:
サーバからデータを取り出すためのAPI用言語。

[5] サーバレス:
クラウドサービスを利用しているシステムにおいて、クラウド事業者が、事前にサーバリソースを割り当てることなく、任意のイベントをトリガーにリソースを割り当て、コード実行を行うこと。

[6] マイクロサービス:
アプリケーションをサービスや機能などで細かく分割して開発する手法のこと。

[7] FAPI(Financial-grade API):
米国OpenID FoundationのFAPI Working Groupにより検討されている金融機関向けのAPI要件のこと。現時点では、まだドラフトの段階で完成はしていないものの、OAuth2.0の拡張仕様の策定を牽引しているOpenID Foundationが推進していることもあり、今後の金融業界におけるAPIのセキュリティ要件のスタンダードとなる可能性が高い。金融機関は、自社のAPIにFAPIの要求仕様を採り入れることで、より高度なセキュリティを確保できるとともに、金融業界のAPIエコシステムに適合しやすい仕様になることが期待できる。

[8] 「FAPIセキュリティプロファイル評価オプション」:
NRIセキュアのこのオプションでは、FAPI Part1(Read Only API)、FAPI Part2(Read & Write API)の観点からの診断のほか、認可フローにCIBA(OpenID Connect Client Initiated Backchannel Authentication Flow)を利用したプロファイルの評価にも対応している。

【ご参考】
NRIセキュアのAPI関連サービス一覧(点線で囲んだ部分が、今回拡充したサービスの範囲)

カテゴリートップへ

本記事はアフィリエイトプログラムによる収益を得ている場合があります

この記事の編集者は以下の記事をオススメしています
Amazon売れ筋ランキング「ノートパソコン」(在庫あり)
1
【整備済み品】富士通 ノートパソコン LIFEBOOK U9310 13.3型FHD(1920x1080) 超軽薄 ノートPC/第10世代 Core i5-10310U@1.7GHz/ 8GB メモリ/高速ストレージ SSD/Webカメラ/WIFI/Type-C/HDMI/win11&MS Office 2019 搭載 ビジネス 在宅勤務向け パソコン (メモリ:8GB/SSD:256GB)
【整備済み品】富士通 ノートパソコン LIFEBOOK U9310 13.3型FHD(1920x1080) 超軽薄 ノートPC/第10世代 Core i5-10310U@1.7GHz/ 8GB メモリ/高速ストレージ SSD/Webカメラ/WIFI/Type-C/HDMI/win11&MS Office 2019 搭載 ビジネス 在宅勤務向け パソコン (メモリ:8GB/SSD:256GB)
¥35,130
2
Apple 2026 MacBook Air M5チップ搭載13インチノートブック:AIとApple Intelligence、13.6インチLiquid Retinaディスプレイ、16GBユニファイドメモリ、512GB SSDストレージ、12MPセンターフレームカメラ、日本語キーボード、Touch ID - シルバー
Apple 2026 MacBook Air M5チップ搭載13インチノートブック:AIとApple Intelligence、13.6インチLiquid Retinaディスプレイ、16GBユニファイドメモリ、512GB SSDストレージ、12MPセンターフレームカメラ、日本語キーボード、Touch ID - シルバー
¥177,333
3
【整備済み品】ノートパソコン 東芝 dynabook B65 シリーズ/Windows11搭載/第6世代 Core i3/ノートPC/メモリ8GB/SSD128GB/15.6型/Bluetooth/Wi-Fi/MS & Office2019/HDMI/DVDドライブ/10キー/初期設定不要 初心者向け(Core i3-6/8/128)
【整備済み品】ノートパソコン 東芝 dynabook B65 シリーズ/Windows11搭載/第6世代 Core i3/ノートPC/メモリ8GB/SSD128GB/15.6型/Bluetooth/Wi-Fi/MS & Office2019/HDMI/DVDドライブ/10キー/初期設定不要 初心者向け(Core i3-6/8/128)
¥12,445
4
ESBOOKノートパソコン 【MS Office 2024搭載&Windows 11 Pro】14インチIPS液晶/1920×1080FHDディスプレイ カメラ付き/薄型PCノート高性能CPU/初期設定不要/8Gメモリ/無線LAN/大容量SSD/初心者向け・パソコンノート/日本語キーボードフィルム付き/ワイヤレスマウス付き(256G SSD, ローズゴールド)
ESBOOKノートパソコン 【MS Office 2024搭載&Windows 11 Pro】14インチIPS液晶/1920×1080FHDディスプレイ カメラ付き/薄型PCノート高性能CPU/初期設定不要/8Gメモリ/無線LAN/大容量SSD/初心者向け・パソコンノート/日本語キーボードフィルム付き/ワイヤレスマウス付き(256G SSD, ローズゴールド)
¥38,999
5
【整備済み品】 NEC 15.6型 ノートPC VX ノートパソコン/Windows 11 /MS Office H&B 2019/第8世代 Core i5-8350U / HDMI/WIFI/8GB/SSD 256GB/テンキー
【整備済み品】 NEC 15.6型 ノートPC VX ノートパソコン/Windows 11 /MS Office H&B 2019/第8世代 Core i5-8350U / HDMI/WIFI/8GB/SSD 256GB/テンキー
¥27,030

Amazonのアソシエイトとして、ASCII.jpは適格販売により収入を得ています。

ASCII倶楽部

ASCII倶楽部とは

注目ニュース

  • 角川アスキー総合研究所

プレミアム実機レビュー

ピックアップ
Amazon.co.jp売れ筋ランキング(パソコン・周辺機器)
1
KIOXIA(キオクシア) 旧東芝メモリ microSD 128GB UHS-I Class10 (最大読出速度100MB/s) Nintendo Switch動作確認済 国内サポート正規品 メーカー保証5年 KLMEA128G
KIOXIA(キオクシア) 旧東芝メモリ microSD 128GB UHS-I Class10 (最大読出速度100MB/s) Nintendo Switch動作確認済 国内サポート正規品 メーカー保証5年 KLMEA128G
¥2,386
2
Anker PowerLine III Flow USB-C & USB-C ケーブル Anker絡まないケーブル 240W 結束バンド付き USB PD対応 シリコン素材採用 iPhone 17 / 16 / 15 / Galaxy iPad Pro MacBook Pro/Air 各種対応 (1.8m ミッドナイトブラック)
Anker PowerLine III Flow USB-C & USB-C ケーブル Anker絡まないケーブル 240W 結束バンド付き USB PD対応 シリコン素材採用 iPhone 17 / 16 / 15 / Galaxy iPad Pro MacBook Pro/Air 各種対応 (1.8m ミッドナイトブラック)
¥1,890
3
NIMASO ガラスフィルム iPad 第11世代(A16) 2025用/iPad 10.9インチ 第10世代 2022用 衝撃吸収 強化 ガラス 保護フィルム 指紋防止 ガイド枠付き NTB22I574
NIMASO ガラスフィルム iPad 第11世代(A16) 2025用/iPad 10.9インチ 第10世代 2022用 衝撃吸収 強化 ガラス 保護フィルム 指紋防止 ガイド枠付き NTB22I574
¥1,359
4
KIOXIA(キオクシア)【日本製】USBフラッシュメモリ 32GB USB2.0 国内サポート正規品 KLU202A032GL
KIOXIA(キオクシア)【日本製】USBフラッシュメモリ 32GB USB2.0 国内サポート正規品 KLU202A032GL
¥1,080
5
対応 iPad 11世代 / 10世代 ガラスフィルム (2025/2022モデル) ガイド枠付き 【2枚セット-日本旭硝子素材】対応 iPad第10世代 2022 第11世代A16 10.9インチ 保護フィルム フィルム 強化ガラス スマートタブレット 第11世代2025 第10世代2022 液晶保護フィルム ガイド枠 全面保護 2.5D 硬度9 H 耐衝撃 飛散防止 貼り付け簡単 自動吸着 気泡ゼロ 指紋防止 ラウンドエッジ加工 超薄0.26mm 超高質感 スマートタブレット SENTM-2IP10D-1
対応 iPad 11世代 / 10世代 ガラスフィルム (2025/2022モデル) ガイド枠付き 【2枚セット-日本旭硝子素材】対応 iPad第10世代 2022 第11世代A16 10.9インチ 保護フィルム フィルム 強化ガラス スマートタブレット 第11世代2025 第10世代2022 液晶保護フィルム ガイド枠 全面保護 2.5D 硬度9 H 耐衝撃 飛散防止 貼り付け簡単 自動吸着 気泡ゼロ 指紋防止 ラウンドエッジ加工 超薄0.26mm 超高質感 スマートタブレット SENTM-2IP10D-1
¥998
6
Anker iPhone充電ケーブル PowerLine II ライトニングケーブル MFi認証 超高耐久 iPhone 14 / 14 Pro Max / 14 Plus / 13 / 13 Pro / 12 / 11 / X/XS/XR / 8 Plus 各種対応 (0.9m ホワイト)
Anker iPhone充電ケーブル PowerLine II ライトニングケーブル MFi認証 超高耐久 iPhone 14 / 14 Pro Max / 14 Plus / 13 / 13 Pro / 12 / 11 / X/XS/XR / 8 Plus 各種対応 (0.9m ホワイト)
¥990
7
Anker USB Type C ケーブル PowerLine USB-C & USB-A 3.0 ケーブル iPhone 17 / 16 / 15 /Xperia/Galaxy/LG/iPad Pro/MacBook その他 Android 等 USB-C機器対応 テレワーク リモート 在宅勤務 0.9m ホワイト
Anker USB Type C ケーブル PowerLine USB-C & USB-A 3.0 ケーブル iPhone 17 / 16 / 15 /Xperia/Galaxy/LG/iPad Pro/MacBook その他 Android 等 USB-C機器対応 テレワーク リモート 在宅勤務 0.9m ホワイト
¥740
8
JAMJAKE iPad用ペンシル アップルペンシル代用ペン 2018年~2026年 iPad対応 タッチペン 超高感度 極細 スタイラスペン Type-C急速充電 傾き感知/磁気吸着/誤作動防止機能対応 軽量 耐摩 学生 子供 筆記 絵を描く デザイン用 ドローイング用
JAMJAKE iPad用ペンシル アップルペンシル代用ペン 2018年~2026年 iPad対応 タッチペン 超高感度 極細 スタイラスペン Type-C急速充電 傾き感知/磁気吸着/誤作動防止機能対応 軽量 耐摩 学生 子供 筆記 絵を描く デザイン用 ドローイング用
¥1,880
9
KIOXIA(キオクシア)【日本製】SDカード 128GB SDXC UHS-I Class10 読出速度100MB/s 国内正規品 メーカー保証5年 KLNEA128G
KIOXIA(キオクシア)【日本製】SDカード 128GB SDXC UHS-I Class10 読出速度100MB/s 国内正規品 メーカー保証5年 KLNEA128G
¥2,152
10
UGREEN USB Type Cケーブル PD対応 100W/5A 超急速充電 USB C ナイロン編み 断線防止 iphone17/16/15シリーズ/iPad/MacBook Pro/Galaxy S24/Matebook/iPad/Xperia等USB-C各種対応(1m, ブラック)
UGREEN USB Type Cケーブル PD対応 100W/5A 超急速充電 USB C ナイロン編み 断線防止 iphone17/16/15シリーズ/iPad/MacBook Pro/Galaxy S24/Matebook/iPad/Xperia等USB-C各種対応(1m, ブラック)
¥743

Amazonのアソシエイトとして、ASCII.jpは適格販売により収入を得ています。

デジタル用語辞典

ASCII.jpメール デジタルMac/iPodマガジン