API管理および予測分析サービスのApigee
"Apigee"って聞いたこともない人がいると思いますので、今回は、APIも含めて、できるだけわかりやすく説明をさせていただきたいと思います。
本日、4月24日(月)Google Cloudは、Apigeeに新しい機械学習モデル(AI)を導入し、潜在的なビジネスロジック攻撃を検出するように訓練したと発表しました。
今回は、主に、Apigeeのサービスとセキュリティについて解説したいと思います。
1 そもそもAPIってなに?
APIとは、「Application Programming Interface」の略で、アプリやウェブサイトの部品をつなげるための「接続部分」のことを指します。簡単に言うと、APIは違うシステムやサービス同士がお互いにコミュニケーションを取るための「言葉」のようなものです。
例えば、スマートフォンで天気予報アプリを使う時、そのアプリは天気予報の情報をどこかから取得しなければなりません。その情報源は、たとえば気象庁や天気予報サービスのサーバーです。アプリは、APIを通じてそのサーバーから天気情報を取得し、アプリ上で表示します。
このように、APIはアプリケーションやウェブサイトが他のプログラムやサービスと情報をやり取りするために使われます。
APIの利点は、次のようなものがあります。
情報共有の効率化
APIを使うことで、さまざまなプログラムやサービスが簡単に情報を共有できるようになります。
開発の効率化
APIがあることで、開発者はすでに提供されている機能やデータを再利用できるため、開発時間を短縮できます。
柔軟性
APIを使えば、異なるプログラムやサービスが互いに独立して開発・運用されるため、変更やアップデートが容易になります。
これらの理由から、現代のウェブサービスやアプリケーション開発において、APIは非常に重要な役割を果たしています。
2 Apigeeのサービス
Apigeeとは、APIプラットフォームで、2016年11月にGoogleに$625 millionで買収された、API管理および予測分析サービスです。
次のように、さまざまなアプリケーションやウェブサイトが円滑に情報を共有して動作することができます。
APIの設計と開発
Apigeeでは、APIの設計や開発を助けるツールが用意されています。これにより、APIの機能やデータのやり取りが効率的で、使いやすくなります。
APIの管理
Apigeeでは、APIのバージョン管理やアクセス制限、認証や認可などのセキュリティ設定ができます。これにより、APIを安全に運用することができます。
開発者向けポータル
Apigeeでは、APIを利用する開発者向けに情報を提供する専用のウェブサイト(開発者ポータル)を作成できます。これにより、開発者がAPIの使い方を簡単に学べるようになります。
APIの監視と分析
Apigeeでは、APIの使用状況やパフォーマンスを監視し、分析することができます。これにより、問題が発生した場合にすぐに対処したり、改善策を見つけたりすることができます。
APIのカスタマイズ
Apigeeでは、APIの挙動をカスタマイズすることができます。例えば、特定の条件に合致したときに通知を送るなど、柔軟な設定が可能です。
予測分析
Apigeeでは、APIの利用データをもとに未来のトラフィックや問題を予測する機能があります。これにより、問題を未然に防ぐことができます。
これらの機能を使って、ApigeeはAPIの管理や運用を効率的に行うことができます。これにより、アプリケーションやウェブサイトがスムーズに情報を共有し、ユーザーにとって快適な体験が提供されます。
3 Apigeeの利用例
Apigeeを利用している著名な企業は多数ありますが、以下にいくつかの例を挙げます。
Apigee自体がGoogle Cloudの一部であるため、Googleは当然Apigeeを利用して、API管理を行い、膨大なAPI群を一元的に管理しています。
eBay
オンラインオークション・ショッピングウェブサイトのeBayは、Apigeeを利用してAPI管理を行っています。これにより、eBayのサービスが他のアプリケーションやウェブサイトとスムーズに連携できるようになっています。
Adobe
クリエイティブソフトウェアの大手企業Adobeは、Apigeeを利用してAPI管理を行っており、APIの開発や運用を効率化しています。
AT&T
通信大手のAT&Tは、Apigeeを使ってAPI管理を行い、モバイルアプリケーションやウェブサービスの連携を効率化しています。
Accenture
ITコンサルティングの大手企業Accentureは、Apigeeを利用してAPI管理を行い、多様なプロジェクトでAPIの開発や運用を効率化しています。
これらの企業は、Apigeeを活用してAPI管理を行い、自社サービスの連携やデータのやり取りを効率化を行い、顧客に向けたサービスの質の向上とビジネスの成長促進に繋がっています。
4 Apigeeのセキュリティ
本日、4月24日(月)Google Cloudは、Apigeeに新しい機械学習モデル(AI)を導入し、潜在的なビジネスロジック攻撃を検出するように訓練したと発表しました。
ビジネスロジック攻撃とは、アプリの設計や実装に欠陥があり、悪意のある行為者が意図しない動作を引き起こすことを可能にするものです。
ビジネスロジック攻撃は、特定が困難であり、また非常に広範囲に広がっています。Silver Tail Systemsの委託調査 によると、2011年から2012年にかけて、90%の企業がビジネスロジック攻撃により収益を失っているとのことです。
Google Cloudは、今回のモデルはApigee Advanced API Securityの全顧客に提供され、Googleの内部データで訓練されたもので、サーバーを制御する攻撃者が当該サーバーの「活動パターン」を変更するような微妙な動作を検出できるほど敏感であるとしています。
まとめ
APIトラフィックの増加に伴い、世界中の企業が悪意のあるAPI攻撃を経験しており、APIセキュリティの必要性がますます高まってきています。Apigeeを利用することで、API不正利用の問題を迅速かつ容易に検出できるようになります。
Apigeeの設定には、以下のような、ある程度の専門知識が必要です。
APIの仕組みや、RESTful APIなどの一般的なAPI設計原則についての理解、HTTPリクエストやレスポンスの概念、HTTPメソッド、APIでデータをやり取りする際によく使われるデータ形式であるJSONやXMLについての理解、PIプロキシのカスタマイズや、ポリシーの作成にはJavaScriptやPythonなどのプログラミング言語、MarkdownやSwagger/OpenAPIなどのドキュメント記述方法についてなどの知識。
Apigee導入について、ご興味やご質問などありましたらいつでもご連絡ください。
