用語集:サイバーセキュリティに関する用語と定義

APIスプロールとは何か

APIスプロールとは、組織がデジタル トランスフォーメーションを実施する際に発生する、2つの絡み合った課題のことです。つまり、APIの数の指数関数的な増加と、複数のアーキテクチャとチーム全体にわたるAPIの物理的な分散を指します。

多くの要因がAPIスプロールと関係しています。最も一般的なものをいくつか紹介します。

  • ハイブリッド インフラストラクチャ – 現在、企業の81%が3つ以上のアーキテクチャで運営されています。これには、パブリック クラウド、オンプレミス データ センタ、エッジ インフラストラクチャなどがあります。
  • マイクロサービス アーキテクチャ – マイクロサービス アーキテクチャの採用が拡大すると、新しいサービスがオンラインで提供されるのに伴い、APIエンドポイントが急増します。
  • 継続的なソフトウェアの導入 - 開発者は短期間で、何十ものAPIや単一APIの複数バージョンをすばやく大量作成できます。
  • APIの放棄 – 開発者が他のプロジェクトのサポートや作業に移行する際、自分たちが作成したAPIの管理と維持をやめます。
APIスプロールが問題となる理由

APIスプロールは、企業の運用とセキュリティに大きな課題をもたらします。APIのエンドポイントが複数のチームや環境にまたがって急増するにつれ、APIのセキュリティ確保と管理は非常に大きな課題となっています。企業にとって、APIスプロールは多くの場合、開発者の生産性の低下、リワークの増加、レビューの遅れといった隠れたコストにつながりますが、それが発覚する頃には手遅れになっています。

APIスプロールの重要な課題のいくつかは次のとおりです。

  • 可視性が欠如している – ハイブリッド アーキテクチャでは、APIトラフィックや構成を統合的に把握することが極めて困難です。
  • 信頼できる明確なソースがない – 開発者は、APIや最新のドキュメントを見つけるのに苦労しています。
  • 信頼性が低下する – 構成ミスが多発するようになり、サービス停止につながります。
  • セキュリティの脅威が高まる – 安全でないAPIのエンドポイントは、攻撃の標的になりやすくなります。

APIスプロールの詳細と、それが大きな脅威となる理由については、当社のブログ「APIスプロールに対抗する5つの方法(および注意すべき理由)」をご覧ください。

NGINXがお手伝いできること

F5 NGINX Management Suiteの一部であるAPI Connectivity Managerを使用すると、次の5つの戦略でAPIスプロールに対抗し、APIを大規模に管理することができます。

  • APIガバナンス戦略を導入する
  • APIについて信頼できる単一のソースを作成する
  • 適切なバージョン管理とドキュメント化を確保する
  • メトリクスと可視性を提供する
  • APIセキュリティを大規模に適用する

API Connectivity Managerは、API開発者のエクスペリエンスを軸にして設計されているため、インフラストラクチャ チームは高性能のAPIゲートウェイと開発者ポータルを導入できるようになります。開発者は、APIとドキュメントを迅速に公開して管理したり、APIを検出してアプリケーションに組み込んだりすることができます。

API Connectivity Managerは、NGINX Secure API Connectivityソリューションの重要な要素であり、次のメリットを提供します。

  • 拡張性 – NGINX PlusをAPIゲートウェイとして使用し、妥協のないパフォーマンス、信頼性、セキュリティを実現
  • 可観測性 – チームや環境全体のAPIトラフィックを監視して、構成エラーやセキュリティの脅威を特定
  • ガバナンス – API開発者がきめ細かく制御してAPIを管理できるようにしながら、一貫した監視を確保
  • セキュリティ – OWASP API Security Top 10に対するすぐに利用可能な保護機能によって、一般的な脅威や高度な脅威からAPIを防御

API Connectivity ManagerInstance Managerが付属した、NGINX Management Suiteの30日間無料のトライアル版をお試しください。