APIの外部公開は企業がAPIエコノミーに参加して競争するために必要なデジタル トランスフォーメーション

動機、課題、機会

アプリケーション プログラミング インターフェイス（API）とそれに伴うAPIエコノミーにより、デジタル トランスフォーメーション(dx)が急速に実現されつつあります。ほとんどの企業はAPIの仕組みを理解していますが、それを自社のビジネス価値を高める手段として採用している企業はほとんどありません。APIエコノミーとは、APIを通じてサービスを外部化する企業が増えるにつれて、デジタル エコノミーの推進要因となるすべてのビジネス モデル、ビジネス手法、ビジネス資産を指します。APIエコノミーは基本的に、企業がそのサービスとデータを安全に公開し、ビジネス上の価値を生み出すことを可能にするのです。

すべての企業はデータを保有し、本質的に価値のある関連サービスを提供しますが、そのようなサービスを利用できるのは一般的に企業内に限られます。しかし、企業がこのAPIエコノミーに参加して効果的に競争するには、このようなAPIの一部を外部公開して企業の内側を見せることも検討する必要があります。Benzell氏らによるレポート『How APIs Create Growth by Inverting the Firm』（企業の外部公開によってAPIがどのように成長を生み出すか）では、プライベートAPIの公開によって企業価値がどのように向上するかが紹介されています。当社はこのフレーズの意味を広げて、企業がプライベートAPIをパートナーAPIまたはパブリックAPIとして外部化するプロセスである「APIの外部公開」としました。

APIの概要

APIを使用すると、開発者はアプリケーションや製品を簡単かつ迅速に構築できます。APIにより、企業のさまざまな部分で使用されるソフトウェアの迅速な統合が容易になり、パートナーAPIまたはパブリックAPIを介して提供されるサービスとの連携が可能になります。

また、APIにより、データ アクセスや共有されている機能の相互利用が可能になることで、企業間の新しいサービスの統合を実現できます。APIによって非常に魅力的な機会が得られる一方で、最大の課題とリスクがもたらされるのが、このデータ アクセスです。APIを使用すると、ユーザーは個々のサービス プロバイダのセキュリティ対策に縛られることなく、安全な方法でさまざまなサービスのデータにアクセスできます。しかし、APIの設計が不適切であると、企業が誤ってデータを公開してしまうことがあり、業界が現在直面している多くの課題を引き起こします。

Postman氏の『State of the API 2022』レポートによると、企業がAPIの利用を決めた第一の理由は「社内システムとの統合」でした。これは、企業がデジタル エコノミーに参加するための最も簡単な方法です。これが重要であるのは、企業が変化する市場に迅速に対応し、APIファースト戦略で採用するテクノロジを選ぶ際に、統合ツールが重要なポイントとなるためです。

ビジネス上の動機

プライベートAPIを大規模なエコシステムで利用できるようにする典型的な例は、Amazon Web Services（AWS）です。Amazonは、顧客がセルフサービスのオンデマンド方式で Amazon独自のコンピューティング インフラストラクチャを使用できるようにする機会を見出しました。Amazonには社内開発者向けのセルフサービス ツールや自動化ツールが既にあったため、これは彼らにとって新しいものではありませんでした。それがAmazonの事業を成長させる発端となり、現在のクラウド コンピューティングが誕生しました。懐疑的な人々は企業がクラウドを採用することはないと断言していましたが、その導入から15年でクラウド コンピューティングは1兆ドル規模の産業となり、Amazonの評価額は10年間で10倍以上になりました。これは主にAWSの成功によるもので、これにより新しいバーティカル市場が誕生しました。

しかし、企業は、ビジネス価値を高めるAPIの可能性をまだ十分に認識しているとは言えません。利益増加の可能性を見過ごす理由はいくつかあるでしょうが、切実な動機としてはサイバーセキュリティがあります。企業の資産を保護することがIT部門の最優先事項であるため、ほとんどの企業は負担の大きいベストプラクティスやワークフローを採用しており、これがビジネスの俊敏性や最終的な利益を制限しています。しかし、セキュリティの目的は企業の潜在的な価値を解き放つことであり、それを制限することではありません。

外部公開用のAPIの評価

「APIの外部公開」は、企業の外部のユーザーがAPIを利用できるようにするという技術的な問題だけではありません。API公開の精度（GRAPE）は、APIを安全に外部公開できるかどうかについてのビジネス上の議論につながります。企業は「GRAPEテスト」によって、競争に有利と見なされる可能性のあるデータや、ガバナンス、リスク、コンプライアンス（GRC）に違反する可能性のあるデータを誤って公開していないかどうかと、セキュリティの観点からAPIがどの程度適切に設計されているかを判断する必要があります。要するに、企業は他社に摘み取られる「果実」を残しておきたくないのです。

APIがこの監査を通過した後も、パートナーAPIまたはパブリックAPIを介してデータを利用可能にするかどうかはビジネス上の判断です。IT部門の目標は、それを安全かつ確実な方法で行うためのツールを企業に提供することです。私たちは、一般的に企業内を対象としているさまざまなサービスを公開する際の精度をできるだけ高めることによって、開発者がより多くの価値を生み出せるようにする必要があります。このようなAPIは「友好的な」外部の顧客やパートナーとともにテストできますが、このプロセスは現在のところ負担が非常に大きいため、ほとんどの企業はこの方法を採用しようとしません。その解決策は、GRCチームとセキュリティ チームが、自律性を促進しながらも、不測の事態を防ぐためのガードレールを提供することです。

主に技術的な課題

では、ここからどのように進むのでしょうか。APIを外部公開することのビジネス価値が理解され、GRAPEテストに合格したとしても、依然として技術的な課題があります。

• セキュリティがすべてを伝える — APIには負の側面があるため、GRCとセキュリティは有益です。ハッカーは攻撃に使用できるAPIを探します。悪意のある攻撃者には意欲と執念があり、APIのセキュリティを回避するためにさまざまなテクニックを駆使し、常に新しい手段を試みます。セキュリティのベストプラクティスを適切に実施していない企業がプライベートAPIを公開することは難しいでしょう。
  
  
• APIの発見と監査 — 失われたAPI、孤立したAPI、安全でないAPIを企業から取り除くのは難しい問題です。開発者は、開発中やテスト中のサービスを仕上げないまま、グループや組織を去ってしまいます。管理の行き届いたソフトウェア チームでさえ、開発段階、テスト段階、サポート終了段階を過ぎたサービスを放置してしまうことがあります。APIに関するもう一つの問題は、返される可能性のあるデータを新しい開発者が十分に把握していない場合の文書化です。これもまた、セキュリティの問題に帰結します。
  
  
• 接続性 — 企業がプライベートAPIを外部の顧客やパートナーのために利用するという説得力のある動機を見出したとしても、社内の3層のファイアウォールの背後にあるAPIに接続するのは困難な作業です。ビジネス ユニットがROIを検証して正当化し、これを実用化するのに何か月もかかる場合がありますが、内部APIを公開することは簡単ではありません。接続性はプロセスでもあります。結果として俊敏性が損なわれ、開発者は迅速なイノベーションができなくなります。

結局のところ、信頼されていない環境でビジネスの俊敏性を得るのは非常に難しいということを認識する必要があります。ITプロセスは、さまざまなセキュリティ上の懸念から情報を得て、定義され、決定されます。ITプロセスには目的があり、回避することはできません。

機会 — 企業そのものがプラットフォーム

企業がAPIエコノミーで競争する方法を考えるようになると、APIを外部公開する必要性は当然の判断になります。次の論理的なステップは、企業全体をプラットフォームとして想像し、その目標に向けて取り組む方法を思い描くことです。

Gartnerの副社長であり、著名なアナリストであるKristin R. Moyer氏は、「APIエコノミーは企業や組織をプラットフォームに変えるための要因となります。プラットフォームは社内外のビジネス エコシステムがユーザーのマッチングを行い、製品、サービス、社会通貨の創造や交換を促します。すべての参加者が価値を享受できるため、価値創出が何倍にも増大します。」(Mulesoft)と述べています。

このような道を歩んでいくのは困難なことであり、ベンダーはIT部門と責任を分担することになります。企業は、内部資産のどの部分がより大きなコミュニティに利益をもたらし、その価値を拡大できるかを理解する必要があります。ベンダーのエコシステムは、企業がAPIを安全に外部公開し、プラットフォームとしての企業価値を解き放つためのツールやテクノロジを提供する必要があります。