1. dstn
  2. テクニカルトピックス
  3. イベントレポート!

APIStudy#9 開催報告

Avatar
dstn

こんにちは。事務局の對馬です。

去る6月27日、構造計画研究所さんにてAPIStudy#9が開催されました。

その様子をご報告します。

IMG_1931.JPG

 

前回の報告はこちらからどうぞ!

 

 

LTタイム

 

今回のLTは2名!

まずは会場を提供してくださった構造計画研究所さんから!

 

佐藤さん

「Web APIってどうやってセキュアにするの?」

IMG_1939.JPG 

 

なんと2連続のLT登壇です!

前回はStoplightの話でしたが、今回はセキュリティについてお話していただきました。

セキュリティと言っても様々ありますが、機密系についてのお話です。

 

現在の課題について

IMG_1942.JPG

  • リリース環境にて、APIを外部から叩かれないよう守らなければならない。
    • POSTを固定にできない。
  • SendGridのWebhook機能。
    • ソースのIPを固定できない。Basic認証しかない

 

では、代表的なサービスはどのように機密性を確保しているのでしょうか。

サービスごとの認証を連続で紹介!

IMG_1945.JPG

 

多数紹介されたので要約すると、

暗号化+サーバ認証:HTTPS

リクエストに認証情報を埋め込むタイプ:Basic認証、APIトークン、APIキー等

利用可能な環境を制限するタイプ:IPアドレス、リファラ、プラットフォーム等

 

まとめとして、

最低限のセキュリティが必要な場合はHTTPS+Basic認証で対応。

それ以上は、HTTPS+Basic認証+α で対応するのが定番、と話されていました。

 

 

鹿島さん

 

IMG_1950.JPG

そして2人目のLTは2回目のご参加!鹿島さんから

「Zapier, IFTTT経由でありとあらゆるサービスと自社サービスを連携する」

 

鹿島さんは、プロジェクト開発効率化のため、Commetというサービスを開発しました。

Commetでは、SlackやGithubなど、開発者が使うツールを一括検索することができます。

IMG_1959.JPG

 

様々なサービスから情報を引っ張ってくるのですが、データ連携はとても厄介!

結構手間がかかってしまうので、連携サービスのZapier, IFTTTを活用したそうです!

 

このようなサービスを活用すると、新規の連携処理も作りやすい=可能性が広がる!という効果がある、と話されていました。

 

そして今回は、Zapier, IFTTTの使い方についてご紹介いただきました。

IMG_1965.JPG

 

実際の体験談も交えながらなのでイメージもしやすく、とてもよいお話を聞けたとにんまりです(私は事務局ですが)。

 

 

第2部:ディスカッション

 

では、ディスカッションタイムが始まります。

 

今回は以下4つのチームができました。

  • セキュリティ
  • オープンソース系簡単連携ツール
  • GraphQL
  • 営業トーク

 

このチームに分かれ、時間内でディスカッション開始!

IMG_1973.JPG

 

楽しそうな声、真剣な表情…。

ベストプラクティスを目指して、どんどん発散していきます。

IMG_1980.JPG

IMG_1981.JPG

 

それではディスカッションの成果を、全体と共有します。

 

セキュリティ

IMG_1987.JPG

外部対策だけに目が行きがちだが、退職者など内部対策も重要。

そのカバー方法には契約書や利用規約が有効ですが、仕組みを知っていても物理的に難しくするとベストです。

 

Basic認証が残り続けている理由は、Basic認証で大事件がまだ起きていないから。

そもそも重要なデータはAPI化されていないが、今後マイナンバーの取り扱いが始まる可能性も?

 

 

簡単連携ツール

 IMG_1990.JPG

ノーコーディングでアプリ実装できるし、フローも見えるので、ハッカソンは重宝されます!

 

レシピを使う側

  • すぐにレシピを使える

 

レシピを提供する側

  • 知名度が上がる
  • 利用者拡大
  • 制限を決めて課金させる

 

 

GraphQL

IMG_1993.JPG

GraphQL は、Facebookが開発したクエリ言語。

 

各言語での実装が豊富にあるので、とりあえず使ってみようってときは使えるかもです。

 

GraphQLで見つけた便利インプリメント。

Join Monster は、GraphQLを自動でSQLに変換します。

つまりGraphQL→SQL→GraphQLという自動変換が行えるので、DBに対してGraphQLでそのまま扱うことができます。

 

 

営業トーク

IMG_1995.JPG

APIを売る立場になったときの理想/現実について。

理想形:

資産ありのものをAPI化して新たな価値を生み出すような提案

現実:

既存システムの管理コストを下げるための提案になっている

 

APIとの3種類の関わり方

  • マネジメント系
  • API化
  • APIをつなげる

3つのAPIを売るときには、どこのお客さんに対してどのようなスタンスで話をしているのか認識していないと価値訴求ができないという注意点があります。

 

 

おわりに

IMG_2001.JPG

今回も濃厚なディスカッションが繰り広げられていました!

そして今回のグラレコ!

 IMG_2002.JPG

 今回も綺麗に内容がまとまっています!

いつもありがとうございます!

 

 

次回開催

 

APIStudy#10は現在絶賛申込受付中です!

開催間近ですが!(報告うp遅くなり申し訳ないです…)

 

ご興味のある方、申込がまだの方は以下リンクからどうぞ!

お待ちしております!

 

コメント

ログインしてコメントを残してください。

このセクションの記事

もっと見る

関連記事

Powered by Zendesk