API インベントリとは: API インベントリの概要?

Jul 17, 2023

ホーム » 編集カレンダー » API セキュリティ » API インベントリとは: API インベントリの概要?

API インベントリは、API ガバナンスとコンプライアンスの不可欠なコンポーネントであり、すべての組織環境にデプロイされているすべての API、その使用、ユーザー、制限、およびセキュリティ プロファイルを識別するプロセスです。 このインベントリを活用して、組織全体で使用されている API の数とその中心的な目的を可視化するには、包括的な API カタログを作成し、継続的に更新する必要があります。 このカタログ化は、組織全体にわたる API の無秩序な増殖によって生じる問題に対処するのに役立ちます。 インベントリに対するこのアプローチは、効果的な API セキュリティ プログラムを確保するために重要です。

API エコノミーは成長しており、企業では API の急速な導入が進んでいます。 API の現状レポートによると、API エコノミーは 59% 以上の組織にとって最優先事項です。 これを、今年は例年よりも多くの開発者が API に依存するという事実と組み合わせると、組織における API の重要性が理解できるでしょう。

API にはさまざまな形状とサイズがあり、Web、ブラウザ、標準、組み込みなどのさまざまなカテゴリに分類できます。 また、マイクロサービス、単一目的、集約などの範囲別に分類することもできます。 それらの多様な特徴と、組織がそれらなしではやっていけないという事実により、在庫は絶対に必要なものとなります。

API インベントリは、セキュリティと管理の観点から重要です。 何よりもまず、目に見えないものは保護できないため、API の完全なリストを作成することが API セキュリティ イニシアチブの最も重要な最初のステップとなります。 ランタイム インベントリは、各ビジネス オーナーの API の認識も促進します。これは、ほとんどの組織が API の所有者を明確に把握していないため、非常に重要です。 組織が利用している API の数を把握していないため、包括的な API セキュリティ戦略を展開できません。 さまざまな環境に API がどれだけ存在するかが分からない場合、API を保護することはできません。

組織は、オンプレミス、データセンター、パブリック クラウド、プライベート クラウド、エッジ コンピューティングなどのハイブリッド アーキテクチャの普及によって生じる API のスプロール化と戦っています。 組織全体で API が急速かつ管理されていないもう 1 つの理由は、マイクロサービス インフラストラクチャの使用量の増加、ソフトウェアのリリースと展開の加速の必要性、および放棄された API です。

これにより、運用上およびセキュリティ上の問題が発生します。 API エンドポイントの急増は複数の環境に限定されるものではなく、これらの環境全体のさまざまなチームにも影響を及ぼします。 また、開発コストも増加します。 特定のプロセス用に API が作成されているが、API をカタログ化できないため、その存在が失われ、開発者が同じ API を再度作成し、その結果シャドウ API が急増するというシナリオを想像してください。

インベントリーの開発と更新ができないということは、API 構成とトラフィックの可視性が極度に欠如していることを意味します。 また、API の設定ミスにより、信頼性の低い API を使用した IT システムが開発される可能性が非常に高くなります。 インベントリ管理が欠如しているということは、IT 環境全体に文書化されていない API が多数存在することを意味しており、その多くはセキュリティが確保されていないため、攻撃者が詐欺やビジネス ロジックの悪用を行い、ビジネスを混乱させる簡単な標的となっています。

API のセキュリティ、ガバナンス、コンプライアンスを確保するには、非常に詳細で適切に分類されたインベントリが重要ですが、API インベントリの明確なロードマップを確立することは依然として課題です。 多くの API は継続的に変更または更新されるため、API を手動で集計することは大きな課題になります。 パッシブ インベントリ ツールやスキャナに依存している組織は、在庫管理に対する従来のアプローチに囚われており、その結果、設計から運用、展開に至る API の全体像が不正確になります。 API を詳細に可視化することで API のセキュリティを回避でき、これが API セキュリティ戦略の大きな弱点となります。