ソフトウェアエンジニアリングリーダー必読：API戦略およびプラクティス展開の5つのポイント：Gartner Insights Pickup（224）

ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、＠IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

　ソフトウェアエンジニアリングリーダーは皆、「API（アプリケーションプログラミングインタフェース）はシステムやアプリケーションを接続し、インパクトの高いコンポーザブル（組み立て可能）なソフトウェアアーキテクチャを構築するための最良の選択肢だ」と考えている。だが、APIのデジタル製品としてのビジネスポテンシャルを見過ごし、主に技術的なユースケースにフォーカスしている。

　有意義なビジネス成果を実現し、ステークホルダーの信頼を獲得するには、企業はモダンAPI戦略を持つ必要がある。この戦略は、ビジネス目標に合致するとともに、APIのセキュリティやガバナンス、ライフサイクル管理、開発者支援、収益化の可能性をカバーしていなければならない。

　「API戦略に責任を持つソフトウェアエンジニアリングリーダーは、APIの技術的なメリットだけを重視してはならない。ビジネスステークホルダーの支援を裏切らないように、ビジネスの視点も取り入れる必要がある」と、Gartnerのアナリストでシニアディレクターの、シャミン・ピライ（Shameen Pillai）氏はアドバイスする。

　ソフトウェアエンジニアリングリーダーが効果的なAPI戦略およびプラクティスを展開するための、5つのポイントを紹介する。

1．APIガバナンスをボトルネックにしない

　APIを開発、管理し、ガバナンスを確保するとともに、お役所的なやり方が障壁とならないようにするには、ソフトウェアエンジニアリングリーダーは「アダプティブガバナンス」モデルを導入するとよい。例えば、さまざまなビジネスグループのAPIチーム（デジタル、商取引、物流APIチームなど）に属するAPIプロダクトマネジャーなどで構成される、フェデレーション型APIプラットフォームチームを新設し、ローカルに開発されたAPIを全体のAPI戦略を損なうことなく管理するというものだ。

　ローカライズされた標準、ツール、プロセスをサポートするには、APIプロダクトチームがばらばらな、あるいは重複した標準を作らず、フェデレーテッドAPIガバナンスに積極的に参加することが重要だ。プラットフォームチームとプロダクトマネジャーは、一貫したコミュニケーションを行い、共有される資産、ポリシー、プラクティスを認識しなければならない。

2．たとえ収益化の計画がなくとも、APIをプロダクトとして扱う

　APIを技術的な目的の達成手段として捉えるのは、新型コロナウイルス感染症のパンデミック（世界的大流行）後の世界では不十分だ。今では、APIはデジタルビジネス戦略を前進させるのに不可欠であり、収益化を優先することなく、プロダクトとして扱う必要がある。APIを収益化している企業もあるが、大部分の企業はまだ収益化していない。多くの企業は、APIプロダクトを社内でのみ利用している。

　それでも、APIの開発、統合、管理は、利用者中心の考え方で進めなければならない。そのためには、プロダクトマネジャーが次のことをする必要がある。

• APIのロードマップを作成し、ビジネス成果を測定する
• API利用者（開発者など）のニーズを理解して対応し、APIプロダクトの利用を促進し、開発者とのより良い関係を築く

（出所：Gartner　ボトルネックを回避するためのフェデレーション型APIプラットフォームチーム）

3．ハッカーが発見する前に自社のAPIを発見する

　APIはシステムやアプリケーション、サービスへのゲートウェイであるため、常にセキュリティの脅威にさらされやすい。その結果、何百万人ものユーザーのプライベート情報や機密情報が失われる恐れもある。

　APIのセキュリティ戦略では、脅威防御や厳密なアクセス制御、データプライバシーに重点を置かなければならない。多くの場合、ソフトウェアエンジニアリングリーダーは公開されたAPIを保護するが、公開されていないAPIをうっかり放置することもある。死角をなくしてAPIの悪用を全て追跡するには、APIの発見が重要になる。

　ソフトウェアエンジニアリングリーダーはDevSecOps戦略を採用し、セキュリティガバナンスポリシーを全社的に適用しなければならない。APIセキュリティおよび管理ソリューションが、APIと潜在的なハッキング脅威を発見する機能を評価し、強化する必要がある。

4．APIのライフサイクルを管理する

　APIのライフサイクルは、次の4つの段階で構成される。

• 計画と初期設計
• 実装とテスト
• 公開と運用
• バージョン管理と廃棄

　ソフトウェアエンジニアリングリーダーは、4つのライフサイクル段階にわたって包括的なAPI戦略およびプラクティスを展開する、一貫したプロセスを構築しなければならない。例えば、「計画と初期設計」の段階では、設計アプローチや方法論、ガバナンスを組み合わせた反復的プロセスを推進する必要がある。同様に、「公開と運用」の段階では、高度なセキュリティ分析を推進し、APIのビジネス価値を測定すべきだ。

　APIの品質維持や問題の追跡、APIのライフサイクルの最適化については、実際のパフォーマンスを基に自動化を活用するとよい。

　APIの開発は、自社のDevOpsのCI／CD（継続的インテグレーション／継続的デリバリー）プロセスに沿って行う。これにより、ソフトウェアエンジニアリングリーダーは、APIをさまざまな環境で開発、公開、テスト、実装する際に考慮すべき点を学ぶ。例えば、APIのテストガイドラインに従って、特定の機能やパフォーマンス、セキュリティテスト要件が必須になることがある。

5．最適なAPI技術を選ぶ

　現在では、APIの開発や管理のためのさまざまなベンダーソリューションが市場で販売されている。だが、API市場は進化しており、一部のベンダーはAPIの特定の側面――例えば、設計やテスト、モニタリング、セキュリティ、ポータル、エコシステム管理などに特化している。

　多種多様なソリューションの選択肢があるため、ソフトウェアエンジニアリングリーダーは、自社とエンジニアリンググループのニーズを明確にしておく必要がある。より信頼できる、コラボレーションを促進する選択をするには、APIプロダクトマネジャーやAPIプラットフォームチーム、セキュリティチームに、選択プロセスに参加してもらう。

　さまざまなベンダーソリューションの可能性や存続性、成熟度の違いを見分けるのは難しいかもしれない。APIライフサイクル管理にとって重要な機能を比較検討し、各ソリューションの長所と短所を理解して、自社に最適なものを選ぶとよい。

出典：Top 5 API Lessons for Software Engineering Leaders（Smarter with Gartner）