NRIセキュア、「APIセキュリティ診断」サービスをリニューアル

　NRIセキュアテクノロジーズ株式会社（以下、NRIセキュア）は18日、企業が公開するAPIについてセキュリティ診断を行う「APIセキュリティ診断」サービスをリニューアルし、提供内容を拡充した。

　リニューアルでは、稼働しているAPIに対して実際にアクセスをしながら、疑似攻撃を通じてセキュリティ上の問題点を洗い出す「APIセキュリティ診断」と、API仕様書やシステム構成図を元に机上でセキュリティ対策状況を評価する「APIセキュリティ設計レビュー」を新たなプランとして追加した。

　サービスでは、認可・ID連携の標準フレームワークである「OAuth2.0」と「OpenID Connect」に、NRIセキュア独自の観点を加えた診断項目を基に評価を行う。「REST」「GraphQL」といったAPI特有の仕様を採用している場合や、サーバーレスおよびマイクロサービスなどの実行環境を用いる場合も診断に対応する。

　また、金融システム向けのAPIセキュリティ要件である、FAPI（Financial-grade API）で定められた要件に基づき、診断対象となるAPIのセキュリティプロファイルを評価する「FAPIセキュリティプロファイル評価オプション」を提供する。