2019/01/24

API エコノミーの保護

2019 年 1 月 24 日 Sylvain LeJeune 著

ビジネスオーナー(CEO、CIO、あるいは事業部の責任者)であるならば、自らが率いる会社や組織のイノベーションを加速させ、他社との競争に勝ち抜く方法を見つける必要があります。我々が住む共有/共同エコノミーには、他社と協力することでより良い成果を上げて競争力を向上させ、より大きな価値提案に参加する機会がはてしなく広がっています。そして今、そのような機会をかつてないほど容易に成果へと結び付けられるようになりました。

他の誰よりも優れた方法で提供できるかどうかが実現の鍵であり、その手段となるのが、従来は分離されていたデータソースを最大限に活用し、その機能を他の人も利用できるようにすることです。そして、そのためには、「API エコノミー」に積極的に参加する必要があります。

API(Application Programming Interface – API 経由で他のプログラムを呼び出すプログラム)という用語は古くから使われてきましたが、API、特に「ビジネス API」や「Web API」への関心がこの数年で高まっています。「ビジネス API」はその名のとおり、ビジネス資産(製品、顧客、注文など)だけを対象とするインタフェースです。

「API エコノミー」とは、企業や公的機関にとっての利益を前提とする「ビジネス API」の使用を指し、API イニシアチブは主として、次のような関連するビジネス推進要因に焦点を当てています。

  • イノベーション
  • 市場投入時間の短縮
  • 資産共有の推進
  • 物理的な世界とオンラインの世界を結び付け(オムニチャネル戦略)、新しい顧客/業種/地域/用途に対応することによる、新しい収益源の創出
  • クライアントエクスペリエンスの向上

従業員エンゲージメントの推進も、多くの組織の中心課題となっています。

ビジネス API によって、人、場所、システム、サービス、データ、製品、物、およびアルゴリズムの統合と接続が容易になります。テクノロジ企業だけでなく、あらゆる業界、あらゆる業種、あらゆる規模の企業がデータから価値を引き出し、他の企業とつながることができ、API によって、あらゆる企業がこれまでになかった方法で他の企業のビジネスを自社に取り込むことができるようになりました。

API エコノミーにおける実例を思いつくままに挙げると、次のようなものがあります。

  • Google が提供する Google マップを小売業者やライドシェア会社が自社のマッピングシステムにプラグインして利用できる(独自のマッピングシステムの構築は不要)
  • PayPal や Stripe の支払いシステムを B2C アプリに統合する
  • Facebook のアカウントを使ってさまざまなアプリにサインインする
  • 実店舗を展開する企業が電子商取引チャネルを開発し、バックエンド API を使って支払や配送などを処理する
  • IoT 対応の駆除システムで、Wi-Fi 接続された罠への有害動物の捕獲を自動通知する

API エコノミーの価値は、業界のさまざまな試算で数兆米ドルに上るとされています。
https://www.mckinsey.com/business-functions/digital-mckinsey/our-insights/what-it-really-takes-to-capture-the-value-of-apis

事実、業界のある興味深い調査によると、3 分の 1 以上(35%)の企業の総売上高の 25% 以上が API から生み出されたものだと推定されます。
https://www.mulesoft.com/press-center/technology-trends-2018-connectivity-benchmark
実に驚くべき数字です。

ここで問題となるのが、API エコノミーによってデジタル優先の環境への移行が進むにつれて、データを狙う犯罪者も増加することになったということであり、それは、データが(人的資本の次に)ビジネスにとって最も重要な資産の 1 つであるためです。そして、API は、そのデータを手に入れる鍵となるものです。

API が安全ではなければ、提供側のワークロード、あるいはユーザ側のオンラインの閲覧やアイデンティティが攻撃され、ビジネスやパートナーのエコシステムに脅威が持ち込まれる恐れがあります。

重要な点として、ビジネスリーダーや開発者が異なるデータを結合して中核となるトランザクションシステムを一般公開すると、攻撃対象が拡大し、サプライチェーン経由で犯罪者がエコシステム全体に侵入する可能性があることを十分に認識しておく必要があります。

API エコノミーでどのようにリスクを軽減するか

パートナーのエコシステムを活用して市場において競争力を向上させようとする進歩的なビジネスリーダーにとって、機密データや法規制の対象となるデータ、あるいは金融資産が犯罪者に盗まれることは何としても避けなければなりません。

IT セキュリティにおいては、3 つの要素で構成される戦略を採用し、リスクを最小化してサイバーセキュリティを強化する必要があります。

  1. 人 –
    ユーザ教育を継続的に実施することで、従業員が真の「人間のファイアウォール」になってフィッシングメールを発見できるようにする
  2. プロセス –
    定期的にデータのバックアップ、パッチの適用、インシデントレスポンスに関する適切な実施手順を確立する(その具体的な方法については、このブログ記事では解説しません)
  3. 最高のテクノロジであっても、展開や設定の方法が正しくなければ、悪意ある攻撃者からビジネスを保護することはできません。シンガポールの SingHealth で先日発見されたセキュリティ侵害は、セキュリティツールがどれほど高度であっても、人やプロセスに「不備」があれば問題が発生し、評判や収益の低下といった重大な負の影響を受けることを我々に教えてくれます。
    https://www.zdnet.com/google-amp/article/employees-sacked-ceo-fined-in-singhealth-security-breach/

  4. テクノロジ

API エコノミーに積極的に参加し、自分の API を外部に提供するにあたって、バージョン管理や展開の重要性を十分に認識しておかないと、セキュリティ侵害の標的になる可能性があります。先ず初めに、あらゆる種類のネットワークサービスに対するエンドツーエンドのガバナンスに対応するアプリケーションサービスガバナンスフレームワークで、API を保護します。調査を始めるにあたっては、グローバルな調査・アドバイザリ会社である Gartner が発表している、2018 年の「Magic Quadrant for Full Lifecycle API Management(全ライフサイクルの API 管理のマジッククアドラント)」を参考にすることをお勧めします。

さらに重要なこととして、アプリケーションやサービスが、従来型 IT インフラストラクチャのオンプレミス、パブリック/プライベートクラウドのオフプレミス、またはハイブリッド IT モデルのいずれに置かれている場合であっても、ワークロードと従業員のアイデンティティを保護する必要があります。ネットワークセキュリティおよび多要素認証に関連するウォッチガードのテクノロジは、API エコノミーの保護というこの重要な課題の解決を支援します。