はじめに
Xで「若手が知らないと損するIT知識5選」と流れてきてうまく説明できないなとおもったので押さえたいなと思いました。
内容は以下5つ
①APIの基本
②認証・認可の違い
③VPNの仕組み
④SSL・TLSの意味
⑤障害対応の流れ
1.APIの基本
API(Application Programming Interface)とは、ソフトウェアの機能やデータを、別のソフトウェアから利用するための仕組みです。
これは、レストランでの客(利用者)とシェフ(提供側のソフトウェア)の関係に例えられます。
利用者(クライアント)がAPIという窓口を通じて リクエスト(注文) を送る。
→提供側のソフトウェア(サーバー)がリクエストに基づいた処理を行う。
→APIを通じてレスポンス(料理/データ) を利用者に戻す。
これにより、異なるソフトウェア同士が安全かつ効率的に連携し、例えば、自分のアプリにGoogleマップの地図表示機能を取り込んだり、ECサイトにAmazonの商品データを取得したりすることが可能になります。
「APIエコノミー」と「API-as-a-Product」
💡 最近の特徴と使われ方
APIは単なる技術的なインターフェースから、ビジネスを成長させる「製品」 へと位置づけが変化しています。
APIエコノミーの拡大:
企業が自社のデータや機能をAPIとして外部に公開し、他社や開発者がそれを利用して新しいサービスを創出することで、巨大な経済圏が生まれています(例:金融分野のオープンAPI、クラウドサービスのAPI)。
これにより、企業は自社の核となるビジネスに集中しつつ、外部のパートナーと迅速に連携して、開発コストと時間を削減できます。
API-as-a-Product(製品としてのAPI):
API自体を収益源として設計・管理する考え方です。気象データや地図データのように、APIが提供する情報や機能に価値を見出し、それを有償で提供します。
マイクロサービス・サーバーレスとの融合:
システムを小さなサービス(マイクロサービス)に分割し、そのサービス間の連携をAPIで行うことが主流です。さらに、サーバーレスアーキテクチャ(AWS Lambda, GCP Cloud Functionsなど)の普及により、APIの実行環境の管理が容易になり、開発速度が向上しています。
2.認証認可の違い
セキュリティの文脈で用いられる「認証」と「認可」は、以下の通り明確に異なります。
| 項目 | 認証(Authentication: AuthN) | 認可(Authorization: AuthZ) |
|---|---|---|
| 目的 | ユーザーが誰であるか(本人)を確認すること。 | 認証されたユーザーが何ができるか(権限)を決定すること。 |
| プロセス | IDとパスワードの照合、生体認証、多要素認証など。 | リソース(ファイル、機能など)へのアクセス権限を与えること。 |
| 例 | 空港のセキュリティチェックで身分証明書を提示する。 | 飛行機の搭乗口で搭乗券を確認してもらい、飛行機への搭乗を許可される。 |
認証が完了して「あなたが〇〇さんである」ことが確認された後、認可によって「このファイルは読み取り可能」「この機能は利用不可」といったアクセスレベルが決定されます。
認証認可の違い:「パスワードレス認証」と「アダプティブ認証」
💡 最近の特徴と使われ方
セキュリティの強化と利便性の両立を目指し、認証の仕組みがパスワード中心から脱却しつつあります。
パスワードレス認証の普及 (FIDO/パスキー):
フィッシング攻撃に強く、ユーザーがパスワードを覚える必要がない「パスキー(Passkey)」などの規格(FIDO認証)が、Google、Apple、Microsoftなどの大手企業で積極的に採用され、急速に普及しています。
公開鍵暗号方式を利用し、利便性と安全性を高いレベルで両立させます。
アダプティブ(適応型)認証:
単にID/パスワードが正しいかを見るだけでなく、「いつ、どこから、どんなデバイスで」アクセスしているかというコンテキスト(状況)を分析します。
通常のアクセスパターンであればスムーズに通過させ、異常なアクセス(例:いつもと違う国からのログイン)であれば追加の多要素認証(MFA)を要求するなど、リスクレベルに応じて動的に認証レベルを変化させます。
3.VPNの仕組み
VPN(Virtual Private Network:仮想プライベートネットワーク)は、インターネットなどの公衆回線を利用して、あたかも専用線であるかのような安全な通信経路を構築する技術です。
主な仕組みは以下の3つの要素で成り立っています。
トンネリング
デバイスとVPNサーバーの間に仮想的な専用線(トンネル) を構築します。
このトンネルを通ることで、公衆回線を利用しているにもかかわらず、外部から通信内容が見えないようにします。
暗号化
トンネル内を流れるデータを暗号化し、仮に盗聴されたとしても内容を読み取れないようにします。
認証
通信を始める際に、正当な利用者であることを相互に確認(認証)し、不正なアクセスを排除します。
VPNは、リモートワークでの社内ネットワークへの安全な接続(リモートアクセスVPN)や、拠点間の安全な接続(サイト間VPN)などに利用されます。
VPNの仕組み:「リモートワークの常態化」と「ゼロトラスト」への移行
💡 最近の特徴と使われ方
パンデミックを経てリモートワークが常態化し、VPNは必須の技術となりましたが、セキュリティモデルは変化しつつあります。
リモートアクセスでの必須インフラ:
企業は社員の自宅や外出先からの安全な社内ネットワークへのアクセス手段として、SSL-VPN(比較的導入が容易でWebブラウザ経由でも利用可能)を広く活用しています。
利用目的の多様化(個人利用):
個人のプライバシー保護(IPアドレスの匿名化)や、地域制限のかかったコンテンツ(動画配信など)へアクセスするためのツールとしても一般化しています。
ゼロトラストへの移行:
従来のVPNは、一度社内ネットワークに入るとすべてを信頼する(境界型セキュリティ)という前提でした。しかし、内部侵入や境界突破のリスクに対応するため、「何も信頼しない」を前提とするゼロトラストモデルへの移行がトレンドです。
このモデルでは、VPNに代わり、個々のアプリケーションやリソースへのアクセスごとに認証・認可を行うSASE (Secure Access Service Edge) のような統合的なセキュリティソリューションが注目されています。
4.SSL/TLEの意味
SSL(Secure Sockets Layer)とTLS(Transport Layer Security)は、インターネット上での通信を暗号化するためのプロトコル(通信手順) です。
目的: 重要なデータ(個人情報、クレジットカード情報など)を盗聴・改ざんから守り、安全に送受信すること。
関係性: TLSは、SSLの脆弱性を改善した後継バージョンです。現在一般的に使用されているのはTLSですが、歴史的な経緯から「SSL/TLS」や単に「SSL」という名称も広く使われています。
利用箇所: Webサイトのアドレスが「https://」で始まっている場合、SSL/TLSによって通信が暗号化されています。サーバーとブラウザ間でデジタル証明書(SSL/TLS証明書)を用いて通信相手の正当性を確認し、暗号化通信を確立します。
「TLS 1.3への完全移行」と「非推奨化の進展」
💡 最近の特徴と使われ方
Web通信の安全性を確保するTLSは、最新バージョンの採用が強く推奨されています。
最新バージョンは「TLS 1.3」:
2018年に策定されたTLS 1.3が現在の最新・最も安全なバージョンです。
高速化:
接続確立(ハンドシェイク)のステップが簡略化され、通信速度が向上しています。
セキュリティ強化:
以前のバージョン(1.2以前)で見つかっていた脆弱性のある古い暗号スイートや機能をすべて廃止し、より強力な暗号技術(認証付き暗号AEADなど)に限定されました。
古いバージョンの非推奨化:
セキュリティ上の問題から、TLS 1.0と1.1はIETF(インターネット技術特別調査委員会)によって利用が非推奨とされ、大手ブラウザやサービスはサポートを順次終了しています。
現在はTLS 1.2またはTLS 1.3の利用が必須となっていますが、特別な理由がない限りは最新のTLS 1.3への移行が強く推奨されています。
5.障害対応の流れ
システム障害が発生した際の、迅速かつ確実な対応のための一般的なフローは、以下の6ステップで構成されます。
感知・初動対応
監視ツールのアラートやユーザーからの報告により、障害を検知します。
障害の発生時刻、発生事象、影響範囲(暫定)など、概要レベルを迅速に把握します。
関係者への連絡
障害の状況と既知の影響範囲を、社内(関係部門、経営層)や外部(ユーザー、取引先)に速やかに共有します。
影響範囲の特定・隔離
障害の影響が及んでいるシステムやサービスを詳細に特定し、被害の拡大を防ぐために、問題のある部分の切り離しなどの暫定対応を検討・実行します。
原因の調査・究明
問題の根本的な原因(ハードウェア故障、設定ミス、バグなど)を特定します。
復旧作業・検証
原因に基づいた恒久対応を実施し、システムの正常な状態への復旧を試みます。
復旧後、サービスが完全に正常に動作することを確認(検証)します。
事後対応・再発防止
障害の発生から復旧までの経緯、原因、対応内容、影響範囲をまとめた報告書を作成します。
同様の障害の再発を防ぐための対策(監視強化、手順改善、システム改修など)を策定・実行します。
障害対応の流れ:「自動化(SOAR)」と「ランサムウェア対応」
💡 最近の特徴と使われ方
サイバー攻撃の複雑化と被害の甚大化に伴い、迅速な封じ込めと復旧の重要性が増しています。
自動化の導入 (SOAR):
インシデント対応の初動(検知、初期トリアージ、封じ込め)を自動化するSOAR (Security Orchestration, Automation and Response) ツールの利用が増えています。
これにより、人間のオペレーターが介入する前に、システムが自動で脅威を隔離し、対応のスピードと一貫性を高めます。
ランサムウェア・サプライチェーン攻撃への特化:
近年多発するランサムウェア攻撃(身代金要求型マルウェア)や、取引先を踏み台にするサプライチェーン攻撃を想定した対応手順が重要視されています。
これには、感染端末の即時隔離、フォレンジック(原因調査)、データの安全な復旧(バックアップからのリカバリ)といった、より専門的で厳格な手順が求められます。
BCP(事業継続計画)との連携:
単にシステムを直すだけでなく、事業が継続できることを最優先にするため、インシデント対応チーム(CSIRT/SOC)と事業継続部門との連携を強化する動きが進んでいます。