ブログ 2024年05月01日

APIマネジメントとは

APIはソフトウェアシステム同士が連携する上で欠かせない要素の1つになりました。APIを取り入れる企業が増えるなか、信頼できるアプリケーション間連携のプロセスを実現するために、APIの管理と統制はますます重要になっています。APIマネジメントには、APIの公開、監視、セキュリティ対策、分析のためのツールとサービスが含まれています。この記事では、APIマネジメントの基礎知識として、その構成要素を説明し、APIを利用する企業にとってのAPIマネジメントの重要性を浮き彫りにしていきます。


APIマネジメントとは

APIマネジメント(APIM)とは、特定の環境の中で動作するアプリケーションプログラミングインターフェース(API)の公開、文書化、管理を意味します。APIはソフトウェアのプログラム同士をつなぎ合わせる役割を果たし、効果的な通信や相互連携を実現します。その上で、APIマネジメントの全体目標は、APIのライフサイクルを統制し、可用性や使用状況を監視することです。APIマネジメントを効果的に行うことで、APIから本来の価値を引き出し、懸念や問題を最小限に抑えることができます。

APIセキュリティ:
APIへの不正アクセスやサイバー脅威を防ぐためには、認証、認可、暗号化が必要です。例えばレート制限は、トラフィックの急増を防ぐ効果があります。

トラフィック制御:
ロードバランシングの手法では、キャッシュやルートマッピングを通じて、レート制限と同様にAPIトラフィックを効率的に分散させることができます。加えて、APIコールが適切なエンドポイントに送られることがパフォーマンスの向上につながります。

APIの文書化:
開発者や社内向けの包括的なAPIドキュメントを作成することは、APIマネジメントを成功させるうえで鍵となります。

API分析:
APIの使用パターン、パフォーマンス、採用状況についてのインサイトを取得することで、課題やチャンスを特定できるだけでなく、ROI(投資対効果)についてのインサイトが得られます。

APIマネジメントの一歩先:APIライフサイクルマネジメント

「APIライフサイクルマネジメント」とは、APIの最初の設計・計画から最終的な廃止まで、APIの存続期間の全段階にわたってAPIを管理するエンドツーエンドのプロセスとガバナンス手法を指します。対象となる主な活動は、要件定義、APIモデリング、標準化、開発、テスト、リリース準備、公開、バージョン管理、監視、提供終了などです。APIの開発ライフサイクル全体に、規律のとれたガバナンスとワークフローを取り入れることを目標としています。

一方、「APIマネジメント」は対象範囲がこれより限定的で、すでに公開済みで利用段階に入ったAPIの稼働を管理するためのツールと機能を指します。これには、API Gatewayでのトラフィック制御、Developer Portalでの文書化、Analyticsによる使用状況の監視、認証やレート制限などのセキュリティ機構といった技術的機能が含まれます。APIライフサイクルマネジメントは、APIの開発から管理、そして提供終了までの全体が対象になります。これに対しAPIマネジメントは、実稼働段階のAPIの公開、セキュリティ、分析という中心的な要素に主眼を置いています。

APIマネジメントの実践:なぜ重要か

APIはあらゆる場面で使われています。例えば航空券を予約するために、ある旅行サイトでフライトを検索しているとします。このサイトは特定の航空会社のものではなく、複数の航空会社が提供するAPIを利用してデータを集約する仕組みだとしましょう。この場合、エンタープライズレベルのAPIマネジメントシステムの利用には多くのメリットがあります。

アジャイル開発:
企業は規模を拡大していくなかで、新機能や改良版の機能を本番環境に定期的にデプロイする必要があります。これを実現するためには、対象の環境を明確に定義しておくことと、その環境に関連する設定を適切に行っておくことが欠かせません。したがって、この種のマネジメントは時間とリソースを要します。しかし、APIマネジメントソリューションを導入していれば、こうした設定にも手際よく対応できます。

スケーラビリティ:
モダンな分散アプリケーションの信頼性を確保するうえで欠かせない要素の1つが、パフォーマンスのスケーラビリティです。APIマネジメントを導入していれば、使用パターンに合わせてAPIインフラをスピーディーに拡張できます。

予防的セキュリティ:
企業が社内外のユーザーにAPIを公開するときには、セキュリティとガバナンスにも配慮が必要です。APIマネジメントシステムを導入していれば、ユーザーの認証と認可をきめ細かく行って、APIや関連するサブシステムを防御できます。また、公開するAPIにガバナンスとポリシーを適用できます。こうして企業は、どこに何をデプロイし、誰が何を呼び出しているかや、個々のAPIのセキュリティレベルを把握できます。

高可用性:
高可用性を確保することで、APIベースのエコシステムの単一障害点を排除できます。APIマネジメントシステムを活用して、レジリエンスと高可用性を備えたインフラを実現できます。また、クライアントの呼び出しパターンに応じてしきい値を増減する形で、APIの各エンドポイントのスロットリングを管理しやすくなります。

監視:
効果的な監視のもとで、デプロイしたAPIの使用パターンを測定してパフォーマンスを把握することや、パフォーマンスの傾向を分析すること、インフラやアプリケーションに加える微調整を事前に判断することはベストプラクティスです。こうした監視のプロセスに関してもAPIマネジメントシステムは有益です。

APIマネジメントのツールとテクノロジー

高性能なAPIマネジメントプラットフォームが備えている主な機能や内蔵ツールを簡単に見ていきましょう。APIマネジメントプラットフォームの核となる構成要素はAPI Gatewayです。API Gatewayは、すべてのAPIリクエストにとって単一のエントリポイントの役割を果たし、APIトラフィックフローのセキュリティ保護と最適化のために、認証、レート制限、キャッシュ、ロードバランシングなどの処理を行います。また、API Gatewayに接続されているDeveloper Portalは、APIの文書化機能や、テスト用のインタラクティブなコンソールのほか、多くの場合はコミュニティフォーラムを備えています。データに関しては、API分析ツールを通じて、使用状況の指標値、パフォーマンス、採用状況などを監視できます。

API Gateway:
API GatewayはAPIマネジメントプラットフォームの中心的な構成要素です。クライアントからのリクエストがバックエンドのサービスにアクセスするための単一のエントリポイントの役割を果たします。API Gatewayはリクエストを適切なAPIにルーティングし、クライアントにレスポンスを返します。また、セキュリティ、分析、パフォーマンス最適化など、すべてのAPIに共通する横断的な要素を処理します。共通のタスクを各サービスから切り離すことによって、アクセス制御、使用状況の監視、効率化を一元的に適用します。全体として見ると、API Gatewayがあることで、バックエンドの複数のAPIとの通信がシンプルでセキュアなものになります。

Developer Portal:
Developer Portal(APIポータルともいう)は、APIのプロバイダーとコンシューマーが連携や情報共有を一元的に行える場所です。プロバイダーの立場で見ると、API開発者はDeveloper Portalを利用して、エンドポイントの設定、機能の文書化、ユーザーアクセスの管理、トークンやクライアントキーの生成を行うことができます。コンシューマーの立場で見ると、Developer Portalでは、アプリケーションの登録、APIが公開しているメソッドや機能の詳細情報の確認、認証情報のリセット、追加的なサポートの要求を行うことができます。

分析ツール:
APIマネジメントプラットフォームの多くは、APIの使用状況に関する指標を取得し視覚化できるAPI分析の機能を備えています。分析ダッシュボードには、APIの総コール数、レスポンスタイム、スループット、アップタイム、採用状況の推移、アプリケーションごと・開発者ごと・地域ごとの使用状況についての重要なデータを表示できます。全体として見ると、内蔵のAPI分析機能では、行動のためのインサイトを獲得できます。こうしたインサイトは、投資の計画、意思決定の方向づけ、運用の効率化、ビジネス成果の明示、さらにはAPIプログラムのパフォーマンスとROIの最適化のために欠かせません。

APIポリシーマネージャー:
ポリシーマネージャーは、APIマネジメントのポリシーのライフサイクルを管理します。APIマネジメントプラットフォームのなかには、ポリシー管理の仕組みを標準装備しているものがあります。こうした仕組みを通じて、認証と認可、送られてきたリクエストの変換、パフォーマンスのチェック、APIトラフィックのルーティングを、既存のコードのリファクタリングなしで実現できます。ポリシーは階層状に有効化することも可能です。例えば、組織全体のレベルから始まって、プロジェクトレベル、個別のAPIのレベルへと進めていくことができます。

APIキー管理:
APIキーはセキュアなAPIアクセスを可能にします。ユーザーはAPIにリクエストを行うときに一意のキーを一緒に送信します。APIはこのキーを使ってユーザーのIDを検証できます。APIキーを必須にするのが認証のベストプラクティスです。APIマネジメントプラットフォームはシンプルなAPIキー管理の機能を標準装備しています。プロバイダは、この機能を利用してAPIキーを必須にすることで、APIアクセスの制限、データの使用状況の制御、リソース使用量の制限を簡単に適用できます。全体として見ると、APIマネジメントプラットフォームでAPIキーを扱うことによって、アクセス制御の一元的・効率的な適用が可能となり、セキュリティが強化されます。

業界ごとのユースケースと具体例

APIマネジメントはさまざまな業界で競争上の差別化要因となっています。企業がセキュリティ面の妥協なしで開発者主体のイノベーションを活用できるようになり、市場投入サイクルを加速させ、リソースを抑えながら成果を高めることができます。業界ごとのAPIマネジメントのユースケースの例をいくつか紹介します。

フィンテック:
金融サービスやオープンバンキングの分野でAPIマネジメントを取り入れることは、顧客のデジタル体験に関する競争力の強化、新たな収益源の拡大と創出、セキュリティとコンプライアンスの確保につながります。主なメリットには、APIの収益化の道が開けることや、PCI基準を遵守できること、オープンバンキングと組込型金融(エンベデッドファイナンス)に向けたAPI戦略を確立できることなどがあります。

ヘルスケア:
ヘルスケア業界においては、スケーラブルで信頼性が高いアプリケーションやプラットフォームをセキュリティ第一の姿勢で開発するうえで、APIマネジメントが重要な役割を果たします。この業界ではデータの保護は何より重要です。APIマネジメントプラットフォームは、データアクセスの制御、セキュリティの確保、規制要件の遵守を後押しします。加えて、企業のコンプライアンスや顧客データのセキュリティを維持するうえで、リアルタイムのオブザーバビリティとモニタリングが強力な支えになります。バイオテクノロジ分野では、データを活用したイノベーションや、革新的な医薬品と治療法を実現するうえで求められる追加の要件があります。高性能なAPIマネジメントプラットフォームは、こうした部分で力になります。

小売とeコマース:
現在の小売業では、高度にカスタマイズされたデジタル体験を素早く提供できるかどうかが購入の決め手になることが非常によくあることから、多くの小売企業がAPIマネジメントの導入を検討しています。各社はAPIマネジメントを利用して、1日あたり数百万件のAPIコールを各種のデジタルプラットフォームで処理することや、APIのデプロイを迅速化して次世代の体験を競合他社より早く顧客に提供することを目指しています。また、決済データや顧客の認証情報をやり取りする通信のセキュリティリスクを抑制するうえでも、APIマネジメントは小売企業にとって欠かせない存在です。

APIマネジメントプラットフォームを選ぶときの主な判断材料

APIマネジメントプラットフォームを選定するときには、注目すべき重要なポイントがいくつかあります。以下のような点についてベンダーに確認しましょう。

セキュリティ
APIが侵害やハッキングを受けると、機密性の高い財務情報や医療情報、個人情報が流出する恐れがあります。企業はこの点を踏まえて、セキュリティ上の欠陥をすべて修正しておかなくてはなりません。しかし、それを手作業で行うのはミスの元です。優れたAPIマネジメント製品は、こうした点を支援するために、セキュリティに関する異常を事前対応型で報告する機能を備えています。

スケーラビリティ
企業がクラウドにインフラを移行する大きな理由の1つが、コンピューティングやコンテナのリソースのスケールアップやスケールダウンをニーズに合わせて行えることです。さまざまなボリュームでアプリケーションを稼働するために必要なコストを考慮しておく必要があります。

コスト
現在の環境下では、成果の拡大とリソースの削減の両方を追求することが重要な検討事項の1つとなっており、効率重視のリーダーはITインフラのコストに厳しい目を向けています。多くの企業は、固有のニーズやワークロードに合わせて、オンプレミスとクラウドを組み合わせて運用しています。APIマネジメントプラットフォームの選定では、アーキテクチャに自由度があるプラットフォームを選ぶ必要があります。すなわち、クラウドとコンテナだけでなく、ハイブリッド環境やオンプレミスのデータセンターでも稼働できて、余分な統合コストが発生しないプラットフォームが望まれます。処理するAPIプロキシの数に制約があるプラットフォームや、APIゲートウェイに加えてアプリケーションロードバランサ、ネットワークロードバランサ、イングレスコントローラを別途用意しなくてはいけないプラットフォームは要注意です。

クラウド統合
クラウド統合は、検討が欠かせない重要な機能です。現代のアプリケーションはクラウドネイティブです。APIマネジメントソリューションを選定するときには、目的のクラウドプラットフォームと、そのほかの主要なクラウドプラットフォーム、およびKubernetesに対応しており、ネイティブに統合可能なソリューションを選ぶ必要があります。

目的の環境で運用できる柔軟性
APIマネジメントプラットフォームにはさまざまなデプロイ形態があり、セルフホスティングが可能な製品や、マネージド型のSaaS製品、ハイブリッドモデルに対応した製品があります。自社のデプロイ戦略に合った製品を選びましょう。

標準装備のガバナンス
APIファーストのアプローチを取り入れている企業は、社内で開発したAPIとサードパーティのAPIを利用しています。APIの数は企業の拡大にあわせて増えていき、手作業でのAPIマネジメントは次第に負担が大きくなっていきます。標準装備のガバナンス機能はこうした状況で役立ちます。特に、複数のAPIプロジェクトのコードに対する開発や修正を複数のチームが同時に進める場合に有効です。APIマネジメントプラットフォームを通じて、複数のチーム間で一貫性のある開発基準の導入が推進されます。この結果、再利用可能で無駄のないコードの作成や、バグの抑制、テスト期間の短縮が可能になります。

分析
データを基盤とする企業には、分析と監視の機能が不可欠です。多くのAPIはログ記録の仕組みがありますが、その機能を使用した場合、数種類のログを複数のサーバーに分散して記録する形になることが多く、ログの全体像の把握が困難です。APIマネジメントプラットフォームを利用すると、それぞれのAPIのパフォーマンスや使用状況についての詳細情報を一元的に把握できることから、こうした課題を解決できます。

Kong Enterpriseの特長

現在のAPIマネジメントシステムは製品ごとの機能の違いが大きく、高度な製品もあれば、エントリレベルのユーザーを対象とした製品もあります。Kong Enterpriseは、マルチクラウド環境やハイブリッドクラウド環境を利用したAPIのセキュアな開発、テスト、デプロイ、監視に対応できるエンドツーエンドのAPIマネジメントプラットフォームです。Kong Enterpriseは特定のプラットフォームやテクノロジに依存しないことから、企業のデプロイの選択肢が広がります。またKongには、プラグインの活発なエコシステムがあり、システムのなかで独自のプラグインを開発できるフレームワークも用意されています。

まとめ

ソフトウェアアプリケーションがモノリシックアーキテクチャからマイクロサービスに移行するなかで、APIはサービス間通信の土台となっています。APIの開発、デプロイ、利用に携わっている現代のIT部門は、APIマネジメントに伴う課題と無縁ではいられません。しかし、こうした課題への対応をAPIマネジメントシステムに任せることができれば、企業は負担から解放され、本質的なビジネス価値の提供にあらためて力を注ぐことができます。

企業の開発戦略とデプロイ戦略にはAPIマネジメントが欠かせません。APIは現代のアプリケーションの基本的な構成要素であり、顧客のニーズに応える圧倒的なデジタル体験を作り出すうえで必須の存在です。

適切なプラットフォームを基盤とするAPIマネジメントを導入することで、セキュリティ、パフォーマンス、スケーラビリティ、市場投入サイクルに関して、ビジネス上の大きなメリットが得られます。加えて、開発生産性や、成果の向上とリソースの抑制の両立に関しても、革新的なメリットを手にすることができます。