APIを保護・制御するサービス、米Cloudflareが開始

　CDN（コンテンツ配信ネットワーク）ベンダーの米Cloudflare（クラウドフレア）の「Cloudflare API Gateway」は、API（アプリケーション・プログラミング・インターフェイス）を保護・制御するためのサービス。同社のサーバーレス実行環境「Cloudflare Workers」との統合機能を利用してAPIを作成し、Cloudflareのエッジ上で運営できる。

　Cloudflareの共同創設者 兼 CEO（最高経営責任者）であるMatthew Princeは、「APIはセキュリティを考慮して構築されていない。にも関わらず、消費者や従業員が触れるアプリケーションには必ずと言えるほどAPIが使用され、機密性の高い個人情報を送受信している。当社のCDNでは、全世界で1日当たり約860億件のサイバー脅威をブロックしている」と話す。

　Cloudflare API Gatewayでは、作成したAPIに対し（1）APIの不正利用の特定と防止、（2）APIの自動検知の機能を提供する。同社の「Transform Rules」が組み込まれており、APIリクエストをルーティング・ログ記録・計測できる。

　不正利用を検知・防止では、機械学習エンジンを使いAPIトラフィックを分析する。自動検知では、ネットワーク全体を受動的にスキャンし、APIエンドポイントをリストアップする。

　認証方法として、「OAuth 2.0」「JSON Web Tokens（JWT）」などのプロトコルに対応する。同社のリモートアクセスサービス「Cloudflare Access」で利用可能な相互TLS（Transport Layer Security）やサービストークンといった認証方法にも対応する。