re:CONNECT 2024 < Briscola Session > ビジネスのつながりを支える「API」のあり方を考える
※本記事は、ブリスコラ主催「re:CONNECT 2024 ~つながりの再発見、そして新たな事業変革へ。」(2024年12月5日開催)でのBriscola Sessionをまとめたものです。本記事の最後に、講演内容全体をご覧いただける動画もご紹介しております。ぜひご視聴ください。
「API」によって何ができるようになり、自社のビジネスにどのように貢献するのでしょうか。技術面にも触れながら、APIの提供に必要な手段と広く利用されるためのポイントについて紹介しました。
また、ゲストスピーカーに株式会社Authlete ジャパン カントリーマネージャーの工藤氏をお招きし、人とAPIをつなぐ「認証・認可」と題し、利用者本位のAPI連携を実現するために「認証・認可」が担う役割を概観し、オープン標準であるOAuth・OIDCの動向や今後の方向性について、ご講演をいただきました。
「API」を使うと何ができるようになるのか?
株式会社ブリスコラ
執行役員 CTO
デジタルイノベーション事業本部 本部長
中島 拓真
Web APIによって新たなビジネスの展開が可能
中島はAPIの利用方法について平易に解説し、ユースケースを挙げてビジネスでの有効性を解説しました。
Web APIを利用すると、アプリケーション単体では実現が難しい機能(最新情報の取得、複雑な計算、専門スタッフへの依頼など)を呼び出して利用できます。身の回りにあるWeb APIの例には、カレンダーの予定や天気予報の取得、目的地までの移動経路検索、タクシーの手配、キャッシュレスでの料金支払、AIによるメール文面の添削といったものがあります。このように特定の目的や機能に特化して提供されているものが多いのは、小さな機能を組み合わせて利用できたほうがアプリケーションの開発者にとっては使いやすいためです。
一方で、Web APIは利用するばかりでなく、自社が持つデータやノウハウ、それらを活用したサービスを社外に提供して収益を得る手段にもなり得ます。例えば、銀行はその運営に必要な機能を提供することで、「ブリスコラ銀行」のような異業種企業の参入が容易になりますし、また、自動車のブレーキやハンドルの操作傾向をWeb API経由で共有できれば、ドライバーに最適な料金の保険を提供できるのではないでしょうか。これらはあくまで一例ですが、APIを使ったサービスの公開により、「新たなビジネスにつながる」ということが考えられるでしょう。
具体的に、事業として課金し収益を得るには、「誰がAPIを利用したのか」、「どれくらいAPIを利用したのか(アクセス回数、データ転送量、計算時間など)」という大きく2つの情報が必要になりますが、API利用者とAPIサーバの間にAPI Gatewayを設置し、そこを通過する際のアクセスログから得ることが可能になります。
広く使われるためにはデファクトスタンダードに合わせた「使いやすさ」と「セキュリティ」の設計がポイント
外部への公開を前提とする場合は特に「使いやすいAPIを設計する」ことが重要です。独自の仕様で作るのではなくデファクトスタンダードとされている設計思想に合わせることで、Web APIを利用する開発者の学習コストが少なくて済み、利用してもらいやすくなります。具体的には、説明を細かく読まなくても理解しやすいREST APIとして設計し、取り扱うデータの形式は多くの開発者にとって扱いやすいJSONとすることが推奨されます。
また、どのようにして利用すれば良い のかを説明するAPIドキュメントの提供も欠かせません。REST APIの場合は「OpenAPI Spec」というAPIドキュメントの規格が広く利用されています。
一方で、不正利用やデータの意図しない公開を防止するために、適切なセキュリティ機能を備えることも必須です。ブリスコラではこちらもデファクトスタンダードである「OpenID Connect」という認可の仕組みを推奨しています。
「OpenID Connectでは、アクセストークンと呼ばれる、サービスを利用するための時間制限付きのチケットのようなものを発行して、それを提示することによってAPIの認証・認可を行います。シングルサインオン(SSO)にも対応していますので、例えばGoogleアカウント認証も利用できます」(中島)
アクセストークンを発行するのはIdentity Provider(IdP)で、利用者はこことのやり取りでクライアント認証やユーザー認証を行い、その引き換えとしてアクセストークンを受け取ります。続いてAPI Gatewayに対して発行するリクエストの中にこのアクセストークンを含めておきます。
API Gatewayは受け取ったアクセストークンが問題なく利用できるものかどうかをIdPに問い合わせて検証し、問題なければスコープに適合したアクセスのみを通過させます。そしてAPIサーバにリクエストを転送してレスポンスを受け取り、それをAPI利用者に戻します 。このように、ユーザー認証は利用者とIdPの間でやり取りされるため、IdPを堅牢に保持することで、あとはアクセストークンを確認すれば良い形となります。
以上のように、APIを公開する際にデファクトスタンダードに沿った設計やセキュリティを備えた上で、自社が持つデータやノウハウを活用したサービスをAPIで公開することにより、それぞれの企業のビジネスの幅が拡がり、さらに新たなビジネス展開も実現できるのではないでしょうか。
<ゲストスピーカー> 人とAPIをつなぐ「認証・認可」
株式会社Authlete ジャパン カントリーマネージャー
工藤 達雄 氏
オープンでセキュアな認証・認可の標準仕様
APIを公開することでビジネスの幅が広がるという中島の説明を引き継いだ工藤氏は、API公開にあたっては人(利用者)とのつながりについて考える必要があると指摘します。
APIはパートナーを経由する新たなサービス提供のチャネルを創出する一方で、利用者とのつながりが間接的になるためです。
パートナーを経由する場合でも、自社チャネルでサービスを提供するのと同じIDで利用してもらえ、利用者を把握できるようにするためには、トークンを用いたAPI認可とID連携の仕組みが標準的になっています。中島から説明のあったAPI認可の「アクセストークン」とは別に、ID連携に「IDトークン」を発行し、自社チャネルからパートナーのサービスを利用できるようにします。
こうしたAPI認可・ID連携の仕組みを標準化したのが、「OpenID Connect」とそのベースである「OAuth」です。これらは仕様が公開されておりプラクティスも世の中に出回っている「オープン」であること、そして「セキュア」、「将来性」という大きく3つの観点で利用するメリットがあります。
OAuth / OpenID Connectの適用事例
金融サービスはオープンAPI化が世界的に進んでいる業界です。国内初のデジタルバンクでスマホを通じて金融サービスを提供する「みんなの銀行」は、その機能をAPI化して、いろいろな事業者が組み込めるようにしています。金融業界では参照系だけでなく決済などの更新系にも対応するOAuth/ OpenID Connectの詳細仕様「FAPI」を採用しており、同行もFAPIで更新系でのセキュリティを担保しています。FAPIも公開されているため、APIを呼び出すパートナーにとっては組み込みやすく、提携を加速する働きがあります。
参照:https://www.authlete.com/ja/resources/videos/20221207/01/
建機メーカーであるコマツの子会社「EARTHBRAIN」は、現場のデジタルツインを活用して建設生産プロセス全体を最適化するためのプラットフォームを構築しており、約200種類のAPIを提供しています。また、OAuth/ OpenID Connectを採用した標準仕様に基づいた仕組みを、組み込みやすいようにSDK(Software Development Kit)やツールとともに提供しています。
参照:https://www.authlete.com/ja/news/20240110_earthbrain/ https://www.authlete.com/ja/resources/videos/20221207/02/
小売業では、セブン&アイ・ホールディングスがグループ企業のID統合・アプリ連携の基盤としてOpenID Connectを利用しています。グループ共通会員基盤を、以前は独自仕様で構築して自社グループ内のID統合を実現していましたが、セキュリティやメンテナンスの観点で手間がかかるものでした。そこでセキュアであることが確認されているOpenID Connectに切り替え、標準仕様を利用することで、メンテナンスコストを下げられました。結果として、連携対象であるグループ企業とのやり取りも短縮でき、サービス展開にかかる期間が非常に短縮されたそうです。また、ベンダーを含む開発体制の統制強化にもつながっています。
参照:https://www.authlete.com/ja/customers/7andi/
「適切な認証・認可は、API公開によってチャネルを拡大しつつ、利用者とのつながりを保つための必須要素です。そのため、オープンかつセキュアな標準仕様としてOAuth/ OpenID Connectがあり、今後もいろいろな適用分野が広がり、使われ方や仕様も増えていくでしょう。ただ、仕様がどんどん増え、ベストプラクティスも増えてくると、それらを正しく理解し実装することは大きな負担となります。Authleteでは新しい仕様に対応したOAuth/ OpenID Connectの仕組みを、ブリスコラのような企業に提供しています」(工藤氏)
「API」によるつながりをさらに身近にする新製品を発表
株式会社ブリスコラ 執行役員 CTO デジタルイノベーション事業本部 本部長 中島 拓真
はじめてAPI管理を担当する技術者でも容易に操作できる「BAMs Gateway」最新版
ブリスコラでは、フルライフサイクルAPI管理製品「BAMs Series」の中核製品である「BAMs Gateway」の管理コンソールとして、「BAMs Manager」(Webアプリケーション)を提供してきました。
これまではオープンソースソフトウェアのAPI Gateway製品「Kong Gateway」の中で取り扱われるリソース名が、そのままメニュー項目となっていました。Kong Gatewayを知っている技術者には使いやすい反面、馴染みのない技術者にとっては難しいと感じてしまうユーザーインターフェース(UI)だったかもしれません。
そこで新しいBAMs ManagerではUIを刷新し、Kong Gatewayのことを知らなくても設計しやすいようにしました。また、新たなメニュー「かんたん設定」では、ウィザードに沿ってステップバイステップで操作を進めていくと、OpenID Connectの設定やセキュリティの設定など、API Gatewayの設定を完了できます。
一方で、これまでBAMs Managerで高度な設定を行ってきた技術者のニーズを満たしつつ、新たな設定項目にも対応する「高度な設定」メニューも用意しました。
最新版の「BAMs Gateway」は2025年4月に正式リリース予定です。すでに導入いただいているお客様は、サブスクリプションアップデートによりご利用になれます。
2024年11月27日発表 プレスリリース
ブリスコラ、機能強化により多様なAPI管理導入シーンに対応した「BAMs Gateway」最新版を発表
OpenID Connectに準拠したAPIセキュリティ向け認可サーバの新製品「IDeagle」
ブリスコラは、フルライフサイクルAPI管理製品 「BAMs Series」の提供に加え、別製品ラインアップとしてAPIアクセスの認証を対象とした認可サーバ「IDeagle(アイディーグル)」の提供を、2025年春頃に開始する予定です。
バックエンドにはAuthleteを利用しており、OpenID Connectの仕様に準拠したID管理が可能です。
ウィザードに沿って進めると、APIを利用したいお客様向けのクライアント登録が完了するUIとなっており、OpenID Connectの用語に不慣れでも操作できるように、分かりやすい言葉で表記しています。
※2024年11月29日発表 プレスリリース
ブリスコラ、オープン標準OpenID Connectに準拠したAPIセキュリティ向け認可サーバの新製品「IDeagle」を発表
