API の反転は、企業が API エコノミーに参加し競争するために必要なデジタル トランスフォーメーションです。
モチベーション、課題、機会
アプリケーション プログラミング インターフェイス (API)、そしてそれに続く API エコノミーは、急速にデジタル変革の実現要因になりつつあります。 ほとんどの企業は API の仕組みを理解していますが、自社のビジネス価値を高める手段として API を採用している企業はほとんどありません。 API エコノミーとは、より多くの企業が API を通じてサービスを外部化するにつれて、デジタル経済を推進するすべてのビジネス モデル、プラクティス、および資産を指します。 本質的に、API エコノミーとは、企業が自社のサービスとデータを安全に公開し、ビジネスに価値を生み出すことを可能にすることです。
すべての企業は、本質的に価値のあるデータを保有し、関連サービスを提供していますが、通常は組織内部でのみ利用可能です。 しかし、この API エコノミーに参加し、効果的に競争するためには、企業はこれらの API の一部を反転させることで、自らを根本から変えることも検討する必要があります。 「API が企業を反転させることで成長を生み出す仕組み」というレポートで、Benzell らは、プライベート API を公開することで組織の価値がどのように高まるかを説明しています。 私たちはこのフレーズを「 API の反転」と拡張しました。これは、企業がプライベート API をパートナーAPI またはパブリック APIとして利用できるようにすることで、それを外部化するプロセスです。
API の簡単な概要
API を使用すると、開発者はアプリケーションや製品を簡単かつ迅速に構築できます。 これらは、ビジネスのさまざまな部分のソフトウェアの迅速な統合を促進し、パートナー API またはパブリック API を介して提供されるサービスと対話します。
API は、データ アクセスと共有機能の交換を可能にすることで、企業間での新しいサービスの統合も可能にします。 API は、データへのアクセスにおいて、最も魅力的な機会を提供すると同時に、最大の課題とリスクももたらします。 API を使用すると、ユーザーは各サービス プロバイダーのセキュリティ対策を経ることなく、さまざまなサービスのデータに安全にアクセスできます。 しかし、API の設計が不適切だと、組織が誤ってデータを公開し、今日の業界で見られる多くの課題につながる可能性があります。
Postman のState of the API 2022レポートによると、組織が API の利用を決定した最大の理由は「社内システムとの統合」であり、企業がデジタル経済に参加するための最も簡単な方法を提供します。 これが重要なのは、企業が API ファースト戦略に適したテクノロジーを選択する際に、統合ツールが重要なポイントとなるためです。
ビジネスモチベーション
より大規模なエコシステムが利用できるようにプライベート API を有効にする最も典型的な例は、Amazon Web Services (AWS) です。 Amazon は、顧客が Amazon 独自のコンピューティング インフラストラクチャをセルフサービスでオンデマンドに使用できるようにする機会を見出しました。 社内開発者向けのセルフサービスおよび自動化ツールはすでにすべて揃っていたため、これは彼らにとって目新しいことではありませんでした。 これは Amazon にとってビジネスの成長を促進するチャンスとなり、今日私たちが知っているクラウド コンピューティングの誕生につながりました。 懐疑論者は企業がクラウドを採用することはないだろうと断言していましたが、導入から 15 年が経ち、クラウド コンピューティングは約 1 兆ドル規模の産業となり、Amazon の評価額は主に AWS の成功により 10 年間で 10 倍以上に成長しました。 これにより、新しい垂直分野の創出が促進されました。
しかし、企業はビジネス価値を高める API の可能性をまだ十分に認識していません。 収益増加の見込みを無視する理由はいくつかあるかもしれないが、最も説得力のある動機はサイバーセキュリティである。 組織の資産を保護することは IT にとって最優先事項であるため、ほとんどの組織では、ビジネスの俊敏性を制限し、最終的には利益を制限する面倒なベスト プラクティスとワークフローを導入しています。 しかし、セキュリティの目標は、企業の潜在的な価値を制限することではなく、それを解き放つことであるべきです。
反転に適したAPI
「API の反転」は、組織外のユーザーが API を利用できるようにするための技術的な問題だけではありません。 API 公開の粒度(GRAPE) により、API を安全に反転できるかどうかがビジネスで議論されることになります。 「グレープ テスト」では、企業は、競合と見なされる可能性のあるデータや、ガバナンス、リスク、コンプライアンス (GRC) に違反する可能性のあるデータを誤って公開していないか、また、セキュリティの観点から API がどの程度適切に設計されているかを判断する必要があります。 本質的に、企業は摘み取るための「ブドウ」を残したくないのです。
API がこの監査を通過した後も、データをパートナーAPI またはパブリックAPI 経由で利用可能にするかどうかはビジネス上の決定であり、IT 組織の目標は、安全かつセキュアな方法でデータを利用可能にするためのツールをビジネスに提供することである必要があります。 通常は企業内に重点が置かれているさまざまなサービスをできるだけ細かく公開することで、開発者がより多くの価値を生み出せるようにする必要があります。 これらの API は「友好的な」外部の顧客やパートナーとテストすることもできますが、このプロセスは現在非常に面倒であるため、ほとんどの企業はこの方法を拒否しています。 解決策は、GRC とセキュリティ チームが、自律性を促進しながら、不都合な事態の発生を防ぐガードレールを提供することです。
課題 - 主に技術的なもの
それで、ここからどこへ向かうのでしょうか? API を反転することのビジネス価値が理解され、グレープ テストに合格したとしても、技術的な課題はまだ残っています。
- セキュリティはすべてを決定します。API にはダーク サイドがあるため、GRC とセキュリティは有益です。 ハッカーは攻撃に使用する API を探します。 悪意のある行為者は意欲的で執拗であり、さまざまな手法を駆使して API のセキュリティを回避するために絶えず工夫を凝らしています。 適切なセキュリティのベストプラクティスを持たない企業は、プライベート API を公開することが困難になります。
- API の検出と監査— 企業内の失われた、孤立した、または安全でない API をサニタイズすることは難しい問題です。 開発者は、開発およびテスト中のサービスをクリーンアップせずにグループまたは組織を離れます。 よく訓練されたソフトウェア チームであっても、開発、テスト、およびサポート終了の段階を過ぎてもサービスを実行させてしまうことがあります。 API に関するもう 1 つの問題は、新しい開発者が返されるデータの潜在能力を完全に理解していない場合のドキュメントです。 これもまたセキュリティの問題につながります。
- 接続性- 企業が外部の顧客やパートナー向けにプライベート API を活用する強い動機を見つけたとしても、企業内の 3 層のファイアウォールの背後にある API を接続するのは困難な作業です。 これを実現するための ROI を検証して正当化するには、ビジネス ユニットに数か月かかる可能性がありますが、内部 API を取得して公開するだけでは不十分です。接続もプロセスです。 その結果、俊敏性が低下し、開発者は急速なペースで革新を進めることができなくなります。
結局のところ、信頼できない環境でビジネスの俊敏性を維持するのは非常に難しいことを認識する必要があります。 IT プロセスは、さまざまなセキュリティ上の懸念に基づいて通知、定義、決定されます。 それらは目的のために存在しており、回避することはできません。
チャンス - 企業こそがプラットフォーム
企業が API エコノミーでどのように競争するかを考えるようになれば、API を反転させる必要性は自然な決断になります。 次の論理的なステップは、ビジネス全体をプラットフォームとして想像し、その目標に向かって取り組む方法を思い描くことです。
ガートナーの副社長兼著名なアナリストであるクリスティン・R・モイヤー氏は、次のように述べています。「API エコノミーは、企業や組織をプラットフォームに変える推進力となります。 プラットフォームは、企業内外のビジネス エコシステムがユーザー間のマッチングを実現し、商品、サービス、ソーシャル 通貨の作成や交換を促進してすべての参加者が価値を獲得できるようにするため、価値創造を倍増させます。」 ( Mulesoft )
企業がこの過程を進むには課題がつきものですが、ここではベンダーが IT 組織と責任を共有します。 企業は、自社の内部資産のどの側面がより広範なコミュニティに利益をもたらし、その価値を拡大できるかを理解する必要があります。 ベンダー エコシステムは、企業が API を安全に反転し、プラットフォームとしての企業の価値を最大限に引き出すのに役立つツールとテクノロジーを提供する必要があります。