OAuthとOpen ID Connectを使った開発者向けサービスを提供する日本のAUTHLETEは本日、シードラウンドとして500 Startups Japanとエムティーアイから累計1.4億円の資金調達を実施したと本日発表した。これは日本のAPIエコノミーの立ち上がりにとって重要なサービスとなるかもしれない。
FlickrやTwitterの初期からAPIを使ってきた開発者なら、今さら「APIエコノミー」と言われても何のことか分からないかもしれない。でも、これまでネットのコアなネット企業しか提供してこなかったAPIが、より広い範囲で広がろうとしているように思われる。ネット上で利用可能なAPIを収集・分類するディレクトリサイト、ProgrammableWeb.comによれば2006年に200件ほどだったAPI提供数は2008年には1000件を超え、この記事の執筆時点で1万7518件となっている。10年で100倍ほどだ。少しリストを眺めれば分かるが、掲載されているのは、いわゆるネット企業が中心。API提供の流れが今後、一般の事業会社へと広がるのであれば、さらに10倍の数になってもおかしくないだろう。
APIエコノミー発展のために必要なのは、当たり前だが、まずは有用なデータやサービスを持つ企業がAPIを公開すること。公開したらしたでサービスの死活監視やAPIバージョンの管理、ドキュメントのメンテとやることが多い。不正使用やDDoSアタック対策など、GoogleやFacebookにはできても、事業会社の開発部門には荷が重いということがある。
こうしたことから、例えばエンタープライズの世界でAPI公開に必要な技術を一括して提供して、メインフレームで組んだシステムですらWeb APIで提供可能にしようというソリューションがCA Technologiesのような企業からでてきていて、徐々に「APIエコノミー」という言葉が米国で使われるようになってきている。写真のシェアやデータ処理といった情報の流通ではなく、決済を含めたリアルな経済活動に繋がるAPIの利用が徐々に始まっているということが背景にある。
日本のメガバンクも使いはじめた「OAuth」
日本でもメガバンクが更新系APIの提供を開始して、マネーフォワードが経費精算でAPI連携を果たすなどインパクトのある動きが出てきてる。ここでカギとなる技術がOAuth 2.0(オーオース)と呼ばれるシステム連携方法を標準化したプロトコル(手順)だ。
OAuthの概念図(AUTHLETEのウェブサイトより引用)
初めて利用するアプリでFacebook IDを使ってログインしたり、ECサイトでAmazon Payを使って決済を済ませるということがないだろうか? このときに使われてるのがOAuthだ。こう書くとビジネスパーソンの多くは「ああ、アカウント連携ね」と思うかもしれない。でも、違うのだ。OAuthではパスワード情報という、もっともクリティカルな情報のやり取りは行われないし、ユーザー認証もまた別の話。OAuthはアカウントのことではなく、「ユーザーが所有権を持つ、どの情報に対して、どういう操作を許可するか」という一種の許可証(認可トークン)を異なるシステム間でやり取りする方法を規定したプロトコルだ。これはユーザーの「認証」に対して、「認可」と呼ばれている。一方、OpenID Connectのほうがユーザーが誰であるかを確認する「認証」を提供するプロトコルだ。
問題は、OAuthもAPIを公開するサービス提供側にとっては導入ハードルが高かったことだ。例えば銀行がAPI公開するとしよう。どの口座情報の「参照」という行為が、どのサービスに対して、いつまで許されているのか。ちゃんと口座を持つユーザーからの明示的な許諾を得たのか、といったことを管理する必要がある。
OAuth認可サーバーを立てるためのライブラリはオープンソースのものがある。ただ、十分な専門性と運用リソース、何よりセキュリティーの知見を持って自社運用をするのはハードルが高い。AUTHLETEが提供する「Authelete」はOAuth認可サーバーの運用に必要な機能をWeb APIベースで提供することで、OAuth導入、維持のコスト低減を実現するサービスだ。クラウド版を利用すると利用者側で認可用データベースを用意する必要もない、という。OpenID Connect利用は必須ではないが、もしAPI提供と同時に自社アカウントを複数サービスを横断して使うとか、外部サービスへ自社IDの利用を開放したいといったケースに使えるという。
AUTHELETEでビジネス開発を担当する岸田圭輔氏はTechCrunch Japanの取材に対して、「例えばAUTHLETEはOAuthの4種類ある認可フローにいずれにも対応していますが、大量の仕様書を読まないといけないので、真面目に対応しようと思うと大変です」とAuthlete利用のメリットを説明する。導入のハードルもさることながら、セキュリティーは重要な観点で、FacebookやGitHubといったエンジニア文化の強いネット企業ですらOAuth関連でトラブルが起こっているという。昨年末にもPayPalの認可トークンが漏洩する脆弱性が見つかり、修正したことがニュースになっている。OAuthやOpenID Connectは仕様がどんどん変わっていくのでキャッチアップするには、それなりのリソースを割くことになると岸田氏はいう。
当初利用を想定するのはセキュリティー要件の厳しいFintech関連企業だが、IoTなどジャンルは問わない。現在、ヘルスケアの日本企業がユーザーとなっているケースがあるという。
500 Startups Japanから資金調達をしていることも含めて、AUTHLETEは海外展開も加速するという。グローバルにみればPing Identityなど類似サービスはあるが、「認可に特化しているのは弊社だけ」と岸田氏は話している。Authleteを利用しているのは現在450アカウント(≒社数)で有料アカウントの数や料金は非公開。30日の無料トライアルがあり、トライアル後の継続利用は個別見積もりとなっている。