つながるシステムが多様化する中、セキュリティへの要請が増大

 これからのシステムの利活用において、重要な役割を果たす「API連携」。社内システム間の連携に加え、外部公開されたAPIを活用し、企業間/サービス間で連携を図る「APIエコノミー」も、急速に拡大しつつある。

 「一方、組織内外の多様なシステムがつながる中で、重要性を増しているのがセキュリティです。OAuth 2.0やOpenID Connect(OIDC) 1.0といった既存の仕様は、自由度が高く様々なユースケースに適用しやすい半面、使い方を間違えるとセキュリティが損なわれる危険性があります。特に金融業界などでは、より高いセキュリティを実現するAPIの仕組みが求められるようになっていました」と説明するのは、日立製作所(以下、日立)の乗松 隆志氏だ。

 乗松氏は、オープンソースのアイデンティティ・アクセス管理ソフトウエア「Keycloak」のメンテナーで、長らくコントリビューションを行ってきた人物。KeycloakはAPIアクセスの認証・認可基盤としても使われるため、APIに関する知見も豊富に有している。

株式会社 日立製作所<br>OSSソリューションセンタ<br>Keycloakメンテナー<br>乗松 隆志氏
株式会社 日立製作所
OSSソリューションセンタ
Keycloakメンテナー
乗松 隆志氏

 このような状況を受け、考案されたのが「Financial-grade API Security Profile」(以下、FAPI)である。

 FAPIはOpenID Foundation の Financial-grade API ワーキンググループが策定したものであり、その名の通り、金融ビジネスの要請を満たすレベルの高い安全性を実現するAPIの新仕様。2021年3月にFAPI 1.0がファイナル版となって以降、世界各国で活用が加速している。「イギリスやオーストラリア、ブラジルなどでFAPIをベースにしたAPIセキュリティが策定されています。国内でも、銀行がFinTech企業などにAPIを公開する『オープンAPI』で、FAPIへの準拠が推奨されています」と乗松氏は話す。

 もちろんFAPIは、金融業界以外の企業・組織でも、セキュアなシステム間連携を実現する際の有効な手法となる。FAPIの登場により、これまではリスクを考慮して対象外としてきたシステムも、API連携の対象に含められるようになるだろう。

 API連携を軸とした、最新・最適な企業システムを実現するための方法とは――。具体的なソリューションと併せて、次ページ以降で紹介する。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。