2026.03.20
本ブログをご覧いただきありがとうございます。
API統合マネジメント基盤『Kong』プリセールス/技術担当の出森と申します。
皆様は昨今「API統合マネジメント基盤」が注目されていることをご存知でしょうか。
今回、私からはその背景である企業のAPI活用における現状・課題とリスクをお伝えし、それらを解決するソリューションとして『Kong』の紹介をさせていただきます。
「APIの管理くらい問題なく出来ている」と思われる方も、本当に問題ないか今一度振り返る機会にしていただけたらと思います。
本ブログはテクノロジーオファリング「NebulaShift di」を担う製品群を紹介するブログです。どれも昨今の環境変化や潮流において重要な役割を担うソリューションを紹介しておりますので、他の記事も是非お読み頂けると幸いです。
製品紹介の前に、世の中の潮流やよくある課題からお読みください。
# この辺りは百も承知で、早くKongの中身を知りたいという方は次章へ
2024年時点でAPIの世界市場規模は約89億4,000万米ドルと評価されており、2032年までには15.00%の年平均成長率で273億5,000万米ドルに達すると予測されています。
APIの利用量は今後も継続的に増え続けます。
参考:https://www.gii.co.jp/report/ires1829587-api-management-market-by-offering-api-types.html
この爆発的な成長の背景として大きく2つの要素が挙げられます。
1つは「システムのモダン化」です。従来型のモノリシックアーキテクチャ(密結合)からマイクロサービス(疎結合)化の流れは何年も前から叫ばれていますが、着実に進んでいます。これを受け、各システムおよびシステム間APIの構成要素が増加しています。
2つめは「AIの台頭」です。皆さんが普段プライベートから業務に至るまで利用している生成AIをはじめ、自律的AIエージェントが普及することで、コールされるAPIの総数が爆増する要因となっています。
野良APIとは、組織内でIT部門やセキュリティチームの管理を介さずに構築・運用されているAPIを指します。「検証用途として一時的に作るだけ」「組織のポリシーに従うとスピード感が合わない」など事情は様々でしょう。然るべきセキュリティ対策が施されていれば問題ないのですが、個人の力量に依存するため不十分な場合があるのが現状です。有事となれば組織として責任が問われてしまいます。また、旧システムの廃止時にインターフェースだけが稼働し続けるケースも見受けられます。これらも企業が利用・提供するAPIとしてリスクとなります。
リスクはセキュリティ面だけではありません。トラフィック急増に対するキャパシティ不足や、APIゲートウェイの誤設定によるシステムダウンは、現代のリアルタイム経済において重大な経済損失を引き起こします。特にエンタープライズ企業において、アプリケーションの停止に伴う損失は金額のみならず信用問題にも関わり、決して無視できるものではありません。
前述したAPIコール数が爆増することで、従来耐えられていたシステム構成では賄いきれないケースも想定されます。
他にもAPIの実行環境(オンプレミス/クラウド/ハイブリッド)やAI利用に伴う考慮事項などの要素がありますがこれらは別の機会とさせていただきます。
このような課題を解決するために、API統合マネジメント基盤:Kongが有効です。
前置きが長くなりましたが本題に入ります。
Kongは「API統合マネジメント基盤」です。
前述した「野良API」をのさばらせることなく統制することが可能な点が大きな特徴です。
Kongの優位性を一度では語りつくせないので、今回は以下の要素に着目します。
① 組織レベルのガバナンス・セキュリティ適用
② 圧倒的なパフォーマンス・低レイテンシ
③ 豊富な「プラグイン」によるシステム開発運用コスト削減
「API統合マネジメント」ときいて、どのレベルの範囲をイメージするでしょうか。
自身やチームが担当するオンプレミスのシステム、各種SaaS、クラウド環境(パブリック/プライベート)APIなど対象の規模や範囲はそれぞれだと思います。更に上記のようなAPIを使っているとして、それらを「同一水準のセキュリティ要件を満たしてください」といった指示が降りてきたらどうでしょうか。各システムの設計思想や機能にも差がある中で、実現難易度が高そうであることはこの時点で想像できます。
Kongを用いると既存API側を大きく意識することなく実現可能です。
APIコール時に必ずKongを経由するような構成とすることで、野良API対策にもなりますし、呼び出し先のAPIに同一のセキュリティを適用することが可能です。
KongをプロキシさせてあらゆるAPIをコールする際に、「どこまで捌けるのだろうか」「ボトルネックにならないか」と懸念される方もおられるのではないでしょうか。
Kongは所謂API統合マネジメント基盤製品の中で、群を抜いて高パフォーマンス、低レイテンシを実現可能です。背景としては元来OSSであることもあり、NGINXをはじめ上位レイヤーの技術群が「大量のトラフィックを捌くことに特化した軽量なアプリケーション」として構成されているからです。
基本的なAPIプロキシとして利用された場合、151,800リクエスト/秒で処理。また最大負荷時のレイテンシが4.92ミリ秒と各製品比で圧倒的なパフォーマンスを誇ります。
各製品とのパフォーマンスについて詳細を知りたい方は以下のURLを参照ください。
※ベンチマークテストの前提条件も記載がございます。
https://portal.gigaom.com/reprint/gigaom-benchmark-kong-api-gateway-v2-241009-1-kong
プラグインとはAPIコール時にアドオンできる機能だと捉えてください。
公式+コミュニティで1000を超えるプラグインが存在します。この辺りはOSS起点であることの特色がよく出ています。
プラグインの種類としては、セキュリティ(認証・認可など)、トラフィック制御、リクエスト/レスポンス変換など様々です。今回は認証関連に着目してみます。
開発者の方はもちろん非技術者であっても、アプリケーションに認証機能がないとセキュリティ上まずいことは理解されていることでしょう。認証機能の仕組みを汎用化して展開しているケースはどれくらいあるでしょうか。IDプロバイダーによる統合が進んできたとはいえ、個別最適でアプリケーション毎に機能開発するケースも散見されますし、検証やPoC的に開発したアプリケーションに全社IDプロバイダーを統合するかというと、しないケースが大半だと思います。
ここで該当するAPIに認証用プラグイン(ベーシック認証、JSON Web Token、OIDCなど)を適用すると、プラグイン設定が正しい前提ではありますが、それだけで認証機能が使えてしまいます。機能のON/OFFもすぐ切り替えられます。なにより従来認証機能に割いていた開発リソースが不要になり、同一の仕組みで複数のアプリケーションに適用できるので保守性も向上しています。認証に限らずこのような共通する仕組みはプラグイン化することで、Kongのメリットを享受できます。
KongのGateway機能はシンプルなので王道のユースケースとしては前述の通り、大きく2点です。
今回はこれだけでも覚えていただけたら幸いです。
最後までお読みいただきありがとうございました。
今回は初回ということもあり、最低限押さえていただきたいKongの強みやユースケースなどの製品紹介が中心となりました。API統合マネジメント基盤の解像度向上および、皆様が抱えているAPI活用時の課題に対する解決策、もしくはアプローチの手掛かりになりましたら幸いです。
記載されている製品/サービス名称、社名、ロゴマークなどは該当する各社の商標または登録商標です。
本ブログ記事は正確性を保証するものではなく、記事の内容によって生じた結果について、いかなる責任も負いません。
