short=辻

NRIセキュアテクノロジーズは12月18日、企業の情報システムやクラウドサービスなどで急速に普及しつつあるAPI(Application Programming Interface)について、セキュリティを強化するため、「APIセキュリティ診断」サービスを刷新すると発表した。

今回、API仕様書やシステム構成図をもとに、机上で評価する「APIセキュリティ設計レビュー」を新たに加え、疑似攻撃を通じてセキュリティ上の問題点を洗い出す「APIセキュリティ診断」とあわせて、2つのメニューが用意された。

同サービスでは、認可・ID連携の標準フレームワークである「OAuth2.0」と「OpenID Connect」に、NRIセキュア独自の観点を加えた診断項目を基に評価を行う。「REST」、「GraphQL」といったAPI特有の仕様を採用している場合や、サーバレス及びマイクロサービスなどの実行環境を用いる場合も、診断が可能。

また、金融システム向けのAPIセキュリティ要件である、FAPI(Financial-grade API)で定められた要件に基づき、診断対象となるAPIのセキュリティプロファイルを評価する、「FAPIセキュリティプロファイル評価オプション」を提供する。

「APIセキュリティ診断」サービスの提供フロー