APIガバナンスの最善策
APIスプロールとは、組織内でAPIが無制御に増加・拡散する現象です。これは現代のITアーキテクチャにおけるAPIの急激な増加と、グローバルに分散したデジタル環境でのAPI利用が重なって生じています。 こうしたAPIの急増が、ますます深刻な課題となっています。 統一した戦略や中央管理なしにAPIを増やすことで、効果的な管理が一層難しくなります。 そこで、APIスプロールがあなたの組織にもたらす重要な運用上やセキュリティ上の課題に対応するために、APIガバナンスのプロセスとツールが不可欠です。
なぜAPIの拡散が問題となっているのか? 現代のマイクロサービスベースのアプリケーション アーキテクチャが広く採用されたことで、今日のアプリケーションを構成するモジュール型サービスやコンポーネントをつなぐAPIが急増しています。 APIは開発を簡素化し、スピードアップします。開発者は既存のデータや機能を活用し、ゼロから作る代わりにサードパーティのサービスとも統合できるようになります。
さらに、94%の組織が複数の環境にアプリケーションを展開しているため、APIは多様なプラットフォームや場所に分散する多くのサービスやデータセットをつなぐ役割を果たしています。 この分散により、APIの品質、可視性、セキュリティを一貫して確保することはますます難しくなっています。 また、多くの組織にとって、包括的で最新のAPIインベントリの維持さえも複雑な課題となっています。
このブログでは、APIガバナンスの基本概念を深掘りします。APIガバナンスが何か、API管理やAPIセキュリティとどう違うのかをぜひ理解してください。 さらに、APIガバナンスの3つのモデルを紹介し、効果的な戦略も検討します。
APIガバナンスとは何かをご説明します。
APIガバナンスとは、APIの設計、構築、セキュリティ強化、監視、および保守の方針と基準の総称です。 APIガバナンスの目的は、APIの品質、一貫性、セキュリティ、および規制遵守を確実にすることです。 自社開発のAPIはもちろん、パートナーやベンダーから提供されるサードパーティAPIも対象に含めています。
さらに、多くの企業がサービスやAPIを起点にアプリケーションを設計する最新のAPIファースト戦略を採用する中で、ガバナンスの重要性は増しています。APIレベルで一貫性、セキュリティ、コンプライアンスを確保するのは欠かせません。
API ガバナンス プロセスは API ライフサイクル全体を対象とし、次の分野を含みます。
- API 開発標準。 これらは、OpenAPI 仕様の使用、設計パターン、スタイル ガイド、メタデータ要件、バージョン管理の実践など、API の構築方法に関する明確なガイダンスを開発者に提供します。 これらの標準により、すべての API にわたって一貫性、相互運用性、保守性が促進されます。
- APIセキュリティポリシー。 APIとそれがアクセス・公開するデータを保護するために、必ず実装すべきセキュリティ対策を定めます。 暗号化、認証と認可、レート制限、機密データの扱い、脆弱性スキャンや継続的な異常検出といった脅威検知機能が含まれます。
- ドキュメントの基準。 API ドキュメントの品質と充実度に対する明確な基準を設けています。詳細な技術仕様、使用ガイドライン、コード例、ベストプラクティス、トラブルシューティングの資料が揃い、APIを簡単に理解し幅広く活用できる環境を提供します。
- 監視と分析。 ガバナンスでは、APIの監視と分析の要件を設定します。 例えば、継続的な自動化ツールによる監視か定期的な手動監査かなど頻度と方法を明確にし、追跡すべき主要業績評価指標(KPI)を特定します。
APIガバナンス と API管理 と APIセキュリティ
APIのガバナンス、管理、セキュリティは密接に関連しながらもそれぞれ異なる分野です。まずガバナンスを実施して、API管理とAPIセキュリティの取り組みを確実に一貫して展開しましょう。
API管理とは、開発者ポータルやAPIゲートウェイ、APIライフサイクル管理ソフトウェアなどのツールを使ってAPIガバナンスポリシーを実施することです。 これらは通常、API管理プラットフォームとしてまとめられています。 ガバナンスポリシーでは、標準化されたプラットフォームをチーム間で義務付けるといったツールの要件や、APIキーや資格情報の管理方法といった運用実務の両方を定めます。
APIセキュリティは、APIガバナンスのポリシーで定められたセキュリティとコンプライアンス要件を確実に実施することを指します。 専用のAPIセキュリティツールに依存する組織もありますが、より広範囲にわたり統合された保護を実現するため、ウェブアプリケーションおよびAPI保護(WAAP)ソリューションの導入が増えています。 ガバナンスのポリシーでは、API通信の最低限のセキュリティ要件や必要な基盤的制御、またAPIゲートウェイやWAF、API保護ソリューションが、全ての脅威ベクトルにわたる攻撃からどのように防御すべきかを示した構成指針を定めています。 これには、ウェブアプリケーションやAPI、さらには自動化された脅威を対象としたOWASPトップ10リストが含まれ、ハードコードされたAPIキーの使用やライブラリのソースコードへの埋め込みを避けるなど、APIの適切な管理のベストプラクティスも促進しています。
API ガバナンスのモデル
API ガバナンス モデルには集中型、分散型、適応型の 3 つの種類があります。
集中型ガバナンスは、すべてのガバナンスポリシーの策定、レビュー、承認を行う中央チームが管理します。 この方法の利点は、最も厳しいガバナンスポリシーを適用し、組織全体での一貫性を実現できることです。 ただし、一律で厳格な方法は必ずしも有効とは限らず、開発のスピードを鈍らせ、回避策や「シャドーIT」の発生を招いてしまいます。
分散型ガバナンスは各チームにAPIガバナンスポリシーの自主的な管理権限を与えます。 この方法は開発スピードを上げ、各チームのニーズに応じた柔軟性を高めます。 一方で、分散管理は組織内でAPIポリシーや制御のばらつきを生み、統合の難しさや設定ミス、コンプライアンスの抜けを引き起こすことがあります。
適応ガバナンスは 上記の2つのモデルのバランスを取ります。 中央チームがグローバルなポリシーを策定し共有インフラを管理する一方で、開発チームはアプリケーションとAPIの具体的なニーズに合ったローカルポリシーを設定できます。 これには地域ごと、政府や業界特有のコンプライアンス要件を含めることもあります。 多くの場合、適応ガバナンスは「絶対に守るべきポリシー」と「必要に応じて柔軟に対応できる領域」を明確に分けることで、双方の優れた面を実現します。
APIガバナンスの最適実践法
- まずはAPIの全体的なリストを作成しましょう。 最新のカタログを維持し、APIの所在を特定、その種類をパブリック、プライベート、サードパーティ、パートナーなどに分類します。 APIの検出ソリューションを活用して、カタログの情報を常に最新に保ちましょう。 開発者にカタログのアクセス権を提供し、既存APIの再利用を促して作業の重複を避けましょう。
- 明確な役割と責任を定めましょう。 あなたのガバナンスモデルが集中型、分散型、あるいは適応型であっても、APIガバナンスプロセスや管理、セキュリティ、コンプライアンスなどの各領域、および関連するソリューションやポリシーの所有権と責任をはっきりさせてください。 APIの種類、地域、開発チームごとにポリシーが異なる場合は、その違いを明確に文書化し、確実に共有してください。
- チームの協力を促し、力を発揮できる文化を築きましょう。 ガバナンスポリシーを中央で管理し、わかりやすく整えてください。 チームがポリシーをどう適用すべきかを明確に示し、ポリシーの変化に応じて継続的に研修や情報を提供しましょう。 開発者から意見を集めて、効果的な点を確認し、改善が必要な点には対応しましょう。
F5 が API ガバナンスをどのように支援するか
F5はAPIライフサイクル全体をカバーするAPI管理およびセキュリティソリューションをF5アプリケーションデリバリおよびセキュリティプラットフォーム(ADSP)の一部として提供しています。 当プラットフォームは、APIの包括的な配信に加え、完全な検出、継続的な監視・検知、重要なポリシーの適用を実現するセキュリティ管理を組み合わせることで、APIの適切な動作を強制し攻撃から守ります。 これにより、多様なIT環境にわたって可視性とポリシー管理を中央集約したプラットフォームで実現しています。