APIガバナンスとは

APIガバナンスは、APIの管理に情報を提供するフレームワークと戦略を設定します。APIガバナンスの目標は、検出可能で安全性があり、スケーラブルで再利用可能なAPIを作成することです。つまり、効果的なAPIガバナンスにより、より高品質で価値の高いAPIと優れたユーザー・エクスペリエンスが実現します。

APIガバナンスは、組織のAPIエコシステム内の一貫性を促進し、APIが共通基準に忠実で、ビジネス戦略に沿ったものであることを保証します。これらの基準とポリシーは、チェックと検証を通じて適用されます。たとえば、社内外のパートナーがAPIを簡単に使用するために必要なメタデータをAPIに含めるのに、効果的なガバナンスが役立ちます。

多くの組織、特にデジタル・トランスフォーメーションを進めている組織では、レガシー・システムを新しいシステムと統合する必要があります。APIガバナンスは、プロトコルや言語などの要素の基準を設定して適用することで、APIがさまざまな環境やシステム間でシームレスに動作できるようにします。ガバナンス・モデルには、多くの場合、さまざまなAPIプロトコルまたはユースケースのルールのサブセットがあり、組織は特定のビジネス・ニーズや取り組みに合わせてガバナンスを調整できます。

APIガバナンスはまた、冗長性（チームが既存の統合を再利用する代わりに新しいサービスを構築する場合）を減らし、組織に必要のないサービスを開発したり統合したりするのを防ぐのにも役立ちます。これにより、APIの管理に関連する全体的なコストが削減されます。ガバナンスはまた、APIスプロール（独自に開発・管理された多数のAPIが様々な部署に分散している状態）や、APIスプロールが引き起こす可能性のある不整合やセキュリティの脆弱性を減らすのにも役立ちます。

APIガバナンスは、IT環境がより複雑になり、さまざまな環境に分散されたマイクロサービスやアプリ（SaaSソリューションなど）に組織が大きく依存するようになるにつれて、APIの可用性とセキュリティを確保するのに役立つため、重要です。APIガバナンスにより、組織はビジネスの機能を安全に公開し、社内外のクライアントが利用できるようになります。

これは、何千ものAPIを使用している大企業の多くに特に当てはまります¹。効果的なAPIガバナンスにより、組織のAPIプログラムが効率的かつ一貫性のある形で運営され、ビジネス目標と合致していることが保証されます。たとえば、組織は、レガシー・システムを複合サービスに統合したり、クラウドでホストされている最新のアプリケーションやサービスと対話したりするために使用するAPIを作成できます。

APIガバナンスはまた、冗長性を減らし、APIスプロールに伴うリスクを軽減するのに役立つため、重要です。ガバナンスによって、利害関係者は、どのような機能がすでに存在し（そしてそれをどのように使うか）、どのような機能を開発する必要があるかを容易に把握できます。APIガバナンス・ポリシーは、API設計とAPI開発を標準化し、新しく開発されたAPIが他のモジュールAPIと連携して機能するようにします。ガバナンスはまた、APIが規制機関へのコンプライアンスを維持し、組織が適切なセキュリティ対策を制定・実施することを保証するのにも役立ちます。

APIガバナンスは、APIファースト戦略を追求する組織にとって特に重要です。APIファースト戦略では、APIは、アプリケーション開発後に対処するものではなく、開発プロセス中に優先される戦略的なビジネス資産として扱われます。ガバナンス・ポリシーは、すべてのAPIがモジュール化され相互運用可能であること、および環境に追加された新しいAPIが新しい価値を提供し、意図したとおりに機能することを確保するのに役立ちます。

これらの用語は互いに関連性があり、APIライフサイクルのすべての段階におけるAPIの健全性にとって不可欠ですが、別個の概念です。APIガバナンスは、API管理のための戦略とフレームワークを提供する基準とベスト・プラクティスを設定します。API管理とは、APIポートフォリオ全体でAPIガバナンス原則を導入し、制御と分析を一元化することです。効果的なAPI管理により、組織はOAuthや暗号化の使用など、セキュリティーのポリシーとプロトコルに確実に従うことができます。

API管理は、API環境全体の一貫性と制御を保証します。これは、APIの品質を確保し、組織がAPIの可能性を最大限に引き出すために不可欠です。API管理プラットフォームは制御を一元化し、一連のツールを使用してチーム間でのデプロイメント、ドキュメンテーション、情報共有を最適化します。

管理プラットフォームには、多くの場合、APIゲートウェイ、開発者ポータル、APIドキュメンテーション、APIカタログ、分析ツール、APIライフサイクル管理コンポーネントが含まれます。API管理プラットフォームを使用すると、組織はAPIを迅速に作成、共有、監視、調整し、ライフサイクルのオブザーバビリティーを高め、APIの範囲を拡大し、より効果的にAPIで収益化することを可能にします。

APIセキュリティーとは、組織のAPIを悪意のある攻撃者、誤用、サイバーセキュリティーの脅威から保護するためのポリシーと手順を指します。APIガバナンス戦略で確立された原則は、APIセキュリティー・ポリシーの指針になります。

たとえば、セキュリティー・ポリシーでは、APIゲートウェイを常に使用し、バックエンド・サービスとフロントエンド・アプリケーションを分離してSQLインジェクション攻撃をブロックするよう規定している場合があります。ポリシーでは、すべてのケースで標準の認証方法の使用を求める場合もあれば、データの種類ごとに異なる方法を定義する場合もあります。

効果的なAPIガバナンスは、API管理とAPIセキュリティーの両方を網羅し、企業の取り組み方を形作ります。APIガバナンスは、組織がAPIを効率的に使用するのに役立つポリシーを定義します。これには、APIを管理する方法やサイバーセキュリティーの脅威からAPIを保護する方法を決定することも含まれます。

明確で一貫したAPI基準を作成するには、組織のAPIランドスケープ全体を包括的に把握する必要があります。使用するAPIが増えるほど、この作業は複雑になる可能性があります。効果的なポリシーを確保するために、組織はガバナンス設計において、次のような特定のベスト・プラクティスに従うことを目指しています。

APIガバナンスを採用する主な理由の1つは、組織が使用する無数のAPIが高品質で、合理化され、標準化されていることを保証できることです。これには、REST APIの標準形式を定義するOpenAPI仕様（OAS）などのコーディング標準の採用が含まれる場合があります。このような標準を実装すると、APIの拡張性も向上します。

また、すべてのAPIを簡単に見つけて再利用できるようにするために、APIのメタデータ・フィールドに一貫性を持たせることも重要です。組織は、これらのポリシーと手順を一元化されたアクセス可能な場所に保管され、組織内のすべての人がアクセスできるようにする必要があります。これらの基準を企業全体で使用し、すべてのAPIがAPIライフサイクルを通じて同じモデルに従うようにする必要があります。

APIがガバナンス・ガイドラインに常に準拠していることを、すべて手作業で確認しなければならない場合、骨の折れる作業となるでしょう。セルフサービス・ガバナンス・ツールとAPI管理アプリケーションを使用すると、環境全体で組織のガバナンス・ポリシーを確認して徹底でき、オートメーションによってプロセスの信頼性と効率が大幅に向上します。

たとえば、開発者が共通のデータ・モデルを使用するなど、自動化されたガバナンス・チェックをAPIレビュー・プロセスに組み込むことで、組織はAPIが開発からデプロイメント、使用に至るまでガイドラインに準拠していることを確認できます。オートメーションは必ずしも手動レビューに代わるものではありません。この2つは連携して最も効果が現れるものの、オートメーションは検査プロセスのエラーを排除し、配信速度を向上させ、ガバナンス・ポリシーの効率を高めるのに役立ちます。

組織は、ビジネスの変化や拡大に合わせて、APIの効率を高めたり、ワークフローを最適化する目的で、APIをテスト、変更、拡張、再デプロイすることがよくあります。APIがすべてのバージョンでガバナンス・ポリシーに準拠していることを確認し、バージョン間の変更を追跡するには、APIのバージョン管理が厳格かつ一貫していなければなりません。

APIのイテレーションに高い透明性があり、以前のバージョンと互換性がある変更と互換性がない変更を明確に区別することで、時間とコストを節約し、頭痛の種を取り除けます。メジャー、マイナー、パッチのバージョニングに従うことが、ベストプラクティスと考えられています²。

ガバナンス構造は、厳格過ぎて、本来は恩恵を受けるはずのAPIを組織が使用できない場合や、開発速度が大幅に遅れている場合には役に立ちません。場合によっては、あるユースケースを念頭に置いて書かれたガバナンス・ルールが、別のユースケースには適切ではない場合があります。たとえば、社内の開発者ポータルで使用されているAPIには、公開マーケットプレイス向けのプロトコルとは異なるプロトコルが必要になる場合があります。

さまざまな事業部門についても同様です。組織のさまざまな部門で、同じAPIを異なる方法で使用する場合があります。たとえば、あるチームでは、他のチームにとっては重要でない、または必要のない特定の条件がトリガーされた場合に、要望に応じた特注のエラー・コードが必要になる場合があります。ガバナンス・ポリシーは、このような例外を許容するのに十分な柔軟性を備えている必要があり、DevOpsやその他のアジャイル手法の妨げにならないようにする必要があります。

APIガバナンス・ポリシーが意図したとおりに機能するためには、組織はDevOpsチームやその他の利害関係者が外部の介入なしに実装できるようにする必要があります。ガバナンス・ポリシーの適用には、トレーニングや、ガバナンスを容易にするための新しいAPIツールの作成、またガバナンス・ポリシーに関する情報に可能な限りアクセスできるようにすることが必要な場合があります。APIファーストの環境では、このレベルの検出可能性が特に重要です。

組織はデジタル・トランスフォーメーションを進めるにつれて、より多くのAPIを使用する可能性が高くなります。多くの依存関係を持つ複雑なAPIポートフォリオを管理していると、創造性と開発を阻害することのない包括的なAPIガバナンス・ポリシーの作成が複雑になる可能性があります。APIのデプロイメントと監視、チェックと検証などのガバナンス・プロセスの一部を自動化すると、APIガバナンスのこの側面を合理化できます。自動化は、API環境が複雑になるにつれて、企業のガバナンス・ポリシーと戦略全体の一貫性を促進するのにも役立ちます。

APIガバナンスにおけるもう1つの大きな課題は、企業のAPIを保護するセキュリティー・ポリシーの作成です。APIセキュリティー侵害は、重大なデータ漏洩や、ビジネスやクライアントを危険にさらすその他のインシデントにつながる可能性があります。APIガバナンスに堅固なセキュリティー・ポリシーを組み込み、ポリシーが遵守されていることを確認するための自動チェックを導入することで、機密データを保護し、システムのスムーズな稼働を維持できます。

また、APIガバナンス・ポリシーが不十分である場合、開発プロセスに追加の手順が必要となるため、開発の妨げになる可能性があります。APIのライフサイクルのすべての段階でガバナンス・ポリシーとチェックを確実に行うことで、組織はコンプライアンス・チェックが散発的に、またはデプロイメント前にのみ発生するボトルネックを防ぐことができます。

柔軟性と権限付与を念頭に置いてガバナンス・ポリシーを作成することは、この課題の軽減に役立ちます。また、ガバナンス・リーダーは、ガバナンス・ポリシーが意図したとおりに機能していない場合、ポリシーの見直しやテスト、変更の必要性を理解することも重要です。

APIガバナンスは、組織がイノベーションと成長を促進するAPI環境を構築するのに役立つベスト・プラクティスと基準を確立します。ポリシーを適切に実装することで、一貫性のある安全な環境が構築され、組織はレガシー・システムとデータベースを統合し、新しい複合サービスを構築することができます。

さらに、APIガバナンスでは次のことができます。