APIスプロールとは、組織内でAPIが無制御に増加・拡散する現象です。これは現代のITアーキテクチャにおけるAPIの急激な増加と、グローバルに分散したデジタル環境でのAPI利用が重なって生じています。 こうしたAPIの急増が、ますます深刻な課題となっています。 統一した戦略や中央管理なしにAPIを増やすことで、効果的な管理が一層難しくなります。 そこで、APIスプロールがあなたの組織にもたらす重要な運用上やセキュリティ上の課題に対応するために、APIガバナンスのプロセスとツールが不可欠です。
なぜAPIの拡散が問題となっているのか? 現代のマイクロサービスベースのアプリケーション アーキテクチャが広く採用されたことで、今日のアプリケーションを構成するモジュール型サービスやコンポーネントをつなぐAPIが急増しています。 APIは開発を簡素化し、スピードアップします。開発者は既存のデータや機能を活用し、ゼロから作る代わりにサードパーティのサービスとも統合できるようになります。
さらに、94%の組織が複数の環境にアプリケーションを展開しているため、APIは多様なプラットフォームや場所に分散する多くのサービスやデータセットをつなぐ役割を果たしています。 この分散により、APIの品質、可視性、セキュリティを一貫して確保することはますます難しくなっています。 また、多くの組織にとって、包括的で最新のAPIインベントリの維持さえも複雑な課題となっています。
このブログでは、APIガバナンスの基本概念を深掘りします。APIガバナンスが何か、API管理やAPIセキュリティとどう違うのかをぜひ理解してください。 さらに、APIガバナンスの3つのモデルを紹介し、効果的な戦略も検討します。
APIガバナンスとは、APIの設計、構築、セキュリティ強化、監視、および保守の方針と基準の総称です。 APIガバナンスの目的は、APIの品質、一貫性、セキュリティ、および規制遵守を確実にすることです。 自社開発のAPIはもちろん、パートナーやベンダーから提供されるサードパーティAPIも対象に含めています。
さらに、多くの企業がサービスやAPIを起点にアプリケーションを設計する最新のAPIファースト戦略を採用する中で、ガバナンスの重要性は増しています。APIレベルで一貫性、セキュリティ、コンプライアンスを確保するのは欠かせません。
API ガバナンス プロセスは API ライフサイクル全体を対象とし、次の分野を含みます。
APIのガバナンス、管理、セキュリティは密接に関連しながらもそれぞれ異なる分野です。まずガバナンスを実施して、API管理とAPIセキュリティの取り組みを確実に一貫して展開しましょう。
API管理とは、開発者ポータルやAPIゲートウェイ、APIライフサイクル管理ソフトウェアなどのツールを使ってAPIガバナンスポリシーを実施することです。 これらは通常、API管理プラットフォームとしてまとめられています。 ガバナンスポリシーでは、標準化されたプラットフォームをチーム間で義務付けるといったツールの要件や、APIキーや資格情報の管理方法といった運用実務の両方を定めます。
APIセキュリティは、APIガバナンスのポリシーで定められたセキュリティとコンプライアンス要件を確実に実施することを指します。 専用のAPIセキュリティツールに依存する組織もありますが、より広範囲にわたり統合された保護を実現するため、ウェブアプリケーションおよびAPI保護(WAAP)ソリューションの導入が増えています。 ガバナンスのポリシーでは、API通信の最低限のセキュリティ要件や必要な基盤的制御、またAPIゲートウェイやWAF、API保護ソリューションが、全ての脅威ベクトルにわたる攻撃からどのように防御すべきかを示した構成指針を定めています。 これには、ウェブアプリケーションやAPI、さらには自動化された脅威を対象としたOWASPトップ10リストが含まれ、ハードコードされたAPIキーの使用やライブラリのソースコードへの埋め込みを避けるなど、APIの適切な管理のベストプラクティスも促進しています。
API ガバナンス モデルには集中型、分散型、適応型の 3 つの種類があります。
集中型ガバナンスは、すべてのガバナンスポリシーの策定、レビュー、承認を行う中央チームが管理します。 この方法の利点は、最も厳しいガバナンスポリシーを適用し、組織全体での一貫性を実現できることです。 ただし、一律で厳格な方法は必ずしも有効とは限らず、開発のスピードを鈍らせ、回避策や「シャドーIT」の発生を招いてしまいます。
分散型ガバナンスは各チームにAPIガバナンスポリシーの自主的な管理権限を与えます。 この方法は開発スピードを上げ、各チームのニーズに応じた柔軟性を高めます。 一方で、分散管理は組織内でAPIポリシーや制御のばらつきを生み、統合の難しさや設定ミス、コンプライアンスの抜けを引き起こすことがあります。
適応ガバナンスは 上記の2つのモデルのバランスを取ります。 中央チームがグローバルなポリシーを策定し共有インフラを管理する一方で、開発チームはアプリケーションとAPIの具体的なニーズに合ったローカルポリシーを設定できます。 これには地域ごと、政府や業界特有のコンプライアンス要件を含めることもあります。 多くの場合、適応ガバナンスは「絶対に守るべきポリシー」と「必要に応じて柔軟に対応できる領域」を明確に分けることで、双方の優れた面を実現します。
F5はAPIライフサイクル全体をカバーするAPI管理およびセキュリティソリューションをF5アプリケーションデリバリおよびセキュリティプラットフォーム(ADSP)の一部として提供しています。 当プラットフォームは、APIの包括的な配信に加え、完全な検出、継続的な監視・検知、重要なポリシーの適用を実現するセキュリティ管理を組み合わせることで、APIの適切な動作を強制し攻撃から守ります。 これにより、多様なIT環境にわたって可視性とポリシー管理を中央集約したプラットフォームで実現しています。