「APIセキュリティコンサルティングサービス」は、FinTechにおける個人向けの資産情報収集・管理サービスや、IoTにおけるパーソナルデータの流通など、エンドユーザーのプライバシーとセキュリティを担保しながら、複数のサービス事業者間でデータ連携を行う企業などを対象として提供するもの。
また、OAuthやOpenID Connectなど、日々進化するオープン標準技術への準拠や、法令や業界ガイドラインの順守も、API提供を推進するためには考慮すべき重要なポイントだとしている。
NRIセキュアは、企業がAPIを提供するにあたり、業界標準のセキュリティ仕様や有力なソリューションを適切なかたちで活用できるようにするためのコンサルティングサービスを始める。
同サービスは、「APIビジネスコンサルティング」「APIアーキテクチャ策定支援」「API管理ソリューション導入支援」「APIセキュリティ診断サービス」の4つのメニューから構成される。各メニューの概要は次のとおり。
APIビジネスコンサルティング
企業のビジネス戦略におけるAPIの役割を検討し、その上で企業がAPIを提供する先(例: 社内向け/パートナー向け/一般公開)、適用分野(例:既存事業/新規事業、顧客向け/従業員向け)、機能(例:参照のみ/情報更新)を明確化し、APIを活用したビジネスの展開ロードマップの策定を支援。
APIアーキテクチャ策定支援
上記で作成したAPIビジネスの展開ロードマップをベースに、最適なAPIの設計を支援。特にAPIでセキュリティの中核となる「OAuth」「OpenID Connect」の適用については、既存システムや業務フローに適したプロファイリング(パラメーターやシークエンスの設計)を行い、APIを利用する外部のサービス事業者にとって接続しやすく、同時にエンドユーザーが許可しないかたちでのAPI活用を防止するアーキテクチャを検討。
API管理ソリューション導入支援
国内外の有力API管理ソリューションを活用して、各社のニーズに合ったAPI管理基盤の構築を支援。
APIセキュリティ診断サービス
実装されたAPIに対し脆弱性が作りこまれていないかを、実際にAPIへアクセスしながら技術的な検証を行う。開発言語、利用プラットフォーム、およびOAuth、OpenID Connectなどの認可仕様を考慮した評価項目を用意。
同サービスは、国内外の有力API管理ソリューションベンダーと協力して提供する。今回、NRIセキュアは、米CA Technologiesの日本法人である日本CAとの間で、国内における販売代理店契約を締結。この契約締結により、NRIセキュアは、CAが提供するWeb APIの開発、管理、運用などを支援する統合プラットフォーム「CA API Management」の販売から導入支援までを、一貫して行うことができるようになったとしている。