APIキーの意味と使い方 🔑

APIキーとは何か

APIキーは単なるコードまたは識別子です。このキーは、API利用者の認証をスムーズに確認するためのIDカードのような役割を果たします。開発者やアプリにかかわらず、同じ方法で簡単かつ正確に特定することが可能です。

それぞれのAPIクライアントやアプリには、それ専用のセキュリティコードが発行されるため、ユニークで目立たない存在となります。通常、内部プラットフォームやサービスプロバイダーを通じて提供され、API利用者はAPIを使用する際にこのキーが必要となります。 

API利用者がAPIを使用するためのリクエストを送ると、APIはキーの提出と確認を求めます。確認に成功して初めて、利用者にAPIアクセスが認められます。

‍

APIキーの用途

API領域において、APIキーには大きく分けて2つの主要な役割があります。

• ‍必要に応じたプロジェクト認証を行う

APIキーはプロジェクトとその利用者を識別するために広く用いられます。各プロジェクトに固有のキーが割り当てられるため、リクエストが正規のものであるかを判断できます。また、APIコールの発信元を特定する手助けにもなります。

• ‍利用者の認証のため

APIキーを用いて複数の利用者認証方式を構築することで、どの呼び出し元がAPIアクセスを要求しているか判断できます。エンドポイントやデバイスは、利用者がAPIアクセス権を持つかどうかをこのキーで確認します。また、APIサーバーもキーを利用してアクセス条件を決定します。 

APIキーの使い方

APIキーの利点は、正しく使う場合にのみ発揮されます。キーの使用方法が気になるなら、下にスクロールして詳しく確認して下さい。

いつ使用できるか

APIキーが最も効果を発揮するのは、以下の場合です。

• 不要なトラフィックを遮断する必要がある場合。不明なソースからのアクセスはハッキングの可能性があるため、受け入れるべきではありません。APIキーを用いることで、トラフィックの管理が可能です。
• APIコールを制御する必要がある場合。コール数が多いほどリスクが増すため、制限を設けることが望ましいです。APIキーを適用すれば、スムーズなコントロールが実現します。 
• APIのトラフィックパターンを把握する必要がある場合。パターンの監視は、攻撃を初期段階で見つけ出す上で役立ち、技術的・運用上の欠陥の発見にも有用です。
• フィルターログを保持する必要がある場合。APIキーはサーバーの活動記録を取り、必要に応じてフィルタリングするのに役立ちます。

使用しない場合

以下の場合、APIキーの実装に力を入れても意味がありません。

• 既存の認証戦略を補完する必要がある場合。キーは有用ですが、認証トークンほどの効果は期待できないため、API認証には適しません。 
• プロジェクト作成者の詳細を知る必要がある場合。APIキーはこの目的には役立ちません。
• 個々のAPI利用者を特定する必要がある場合。APIキー認証では、誰がアクセスしているかを正確に見極めることは困難です。

注意: APIキーとトークンの違いについて知る場合、トークンは広範囲に利用されるのに対し、APIキーはアプリ毎の実装となります。トークンは有効期間が短く、サイバーリスクも低いですが、セキュアなキーでなければ、APIキーは長期間存在する可能性があります。

APIキーの取得方法

APIキーを入手するには、キー提供元に問い合わせる必要があります。例えば、Google Maps APIキーを使用する場合、プラットフォーム上で開発者アカウントを作成する必要があります。キーの種類により前提条件は異なります。 

たとえば、Google Mapsキーではあらかじめ最低1つのAPIキーが必要です。認証情報ページにアクセスし、「APIキーの作成」セクションをクリックしてください。案内に従ってキーを作成できます。 

APIキーの生成が完了したら、過剰な利用を防ぐために、キーの使用範囲を制限することを忘れずに行って下さい。必要に応じて、リクエストにキーを追加します。

APIキーのセキュリティ

このキーがAPI利用を左右するため、セキュリティは最優先すべきです。キーが盗まれたり漏洩したりすると、アプリの安全が損なわれます。

ハッカーがキーを手にすれば、アプリを制御される恐れがあります。そこで、最良のAPIキーセキュリティ対策を知る必要があります。ここでは、推奨される対策について説明します。

APIにはレート制限を設け、必要なコールのみ実施されるようにすることで悪用を防ぎます。

• APIの権限を十分に確認し、不要な権限が与えられていないか検証する。
• 不正な活動や有害なAPIの挙動を迅速かつ正確に検出するため、効果的な攻撃検出手法を導入する。
• 事前に定めたAPI基準を超えるリクエストや、プライバシーを侵害するリクエストは受け入れない。
• 定期的にAPIキーを更新し、新しいキーを発行する。手動でも自動でも構いませんが、長期間同じキーを使い続けないようにすることが、ハッカーに有利にならない対策となる。
• 可能な場合はセキュアなAPIキーを利用する。有効期間が短く、ダッシュボードに表示されないためセキュリティが向上する。
• 利用者認証には常にJWTトークンを使用する。
• 利用者側とAPIサーバー側で同様の暗号化を実施する。これにより、APIキーが読み取られなくなり、安全性が高まる。

これらのセキュリティ対策を取り入れ、APIおよびアプリを守る前に、APIキーの安全性を確保して下さい。

各プラットフォームでのAPIキーの利用例

APIの普及が進むにつれ、APIキーの実装範囲はさらに広がると予想されます。至る所に存在していて気づかないこともあります。以下は、実際の利用例です。

1. ‍Google Maps APIキー

Google Mapsは世界的に有名で、地図データのリクエストを守るためにAPIキーを利用しています。このキーを使用するには、開発者アカウントを設定すれば、Google Maps APIが利用可能となります。エンド利用者に自由度が与えられており、開発者はドメインやHTTPセキュアなリクエストのみに限定することができます。

2. ‍Stripe APIキー

Stripeは信頼性の高い決済処理サービスとして知られ、APIキーも提供しています。提供されるキーは2種類あり、その一例が「publishable」です。これは公開キーで、Stripeアカウントと他のサービスを連携する際に使用されます。 

もう一方は「Secret」APIキーで、非公開のキーです。これにより、Stripeへ様々なリクエストを行うことが可能となります。両タイプのキーは各々2組用意されており、一組は本番用、もう一組はAPIテスト用です。

‍本記事が、APIキーについての理解を深める一助となれば幸いです。