発行日:2023年11月29日
寄稿者:クリスタル・R・チャイナ、マイケル・グッドウィン
API監視とは、企業のアプリケーション・プログラミング・インターフェース(API)のパフォーマンス、可用性、機能を監視するプロセスです。
さらに具体的に言うと、API監視には、運用中のAPI応答を評価して組織のパフォーマンス・ベンチマークを満たしていることを確認し、問題が発生した場合には適切な関係者に警告することが含まれます。企業のITインフラのデジタル化が進む中、関係者やシステム間の摩擦のない接続性が最も重要です。ここでAPIの出番です。
APIは、ほとんどのモバイル・アプリケーションやウェブ・アプリケーションの構成要素として、 また、ITエコシステムを構成するさまざまなプロセス、プロトコル、アプリのデータ・オーケストレーション・ハブとして機能します。これらにより、アプリ間、およびアプリとクライアント間の通信が促進され、さまざまなサービスのシームレスな統合が可能になります。
75%以上の企業が、アプリごとに(平均)26個のAPIをデプロイしていると報告しています。 1また、3分の1以上が、すべてのアプリがAPIを使用していると報告しており、この数字は今後数年間で50%以上に増加すると予想されています。1
そのため、APIのパフォーマンスはほとんどの企業にとって重大な関心事です。適切に管理されていないと、APIが侵害され、古くなると、エンドユーザー・エクスペリエンスやアプリケーションの全体的な機能、さらにはビジネスの収益に多大な影響を及ぼす可能性があります。API監視による警戒の実践により、企業はAPIのパフォーマンスと機能の問題が破壊的(または壊滅的)になる前に迅速に対処できるようになります。
IBM Instana Observabilityのデモを入手して、Full Stack Observabilityと監視を数分で実現する方法をご覧ください。
IBMニュースレターの購読
今日のAPIは、複雑なシステムやアプリ、マイクロサービスの統合プロセスを容易にしますが、どんなに高度なAPIであっても、厳格な監視慣行の実現がチームに求められます。幸いなことに、エンタープライズAPIの長期的な効率と有効性を確保するのに役立つAPI監視戦略が多数あります。
アップタイム監視では、API エンドポイント (つまり、API データ交換の場所) に定期的にpingを送信し、アクセス可能で応答性がある(つまり、「稼動」している)ことを確認します。APIが応答しない場合、または応答に時間がかかりすぎる場合、システムがアラートを送信します。
アップタイム監視のAPIメトリクスには、可用性パーセンテージ(APIにアクセスできる時間の割合)とダウンタイム(APIにアクセスできない時間の長さ)が含まれます。サービス・レベル契約(SLA)で必要なアップタイムの割合を指定することは珍しいことではなく、多くの場合、約99.9パーセント(「スリー・ナイン」)以上のアップタイムを義務付けられます。
パフォーマンス監視は、APIがリクエストにどれだけ迅速かつ確実に応答するかを定量化し、非効率性やネットワークの問題、サーバーの過負荷を特定するのに役立ちます。パフォーマンスは通常、レスポンスタイム(APIがリクエストやコールを処理して応答するのにかかる時間)、遅延(リクエストを送信者から受信者に送信するのにかかる時間)、スループット(単位時間当たりに処理されるリクエスト数)といったメトリクスで測定されます。パフォーマンス監視では、エラーにつながるリクエストの割合を示すエラー率も追跡できます。
合成監視とは、エンドユーザーがアプリを使用する際の可能な経路を模倣するプロセスです。スクリプトを利用してユーザー・シナリオやデバイスの種類、地理的位置などの要素をシミュレートし、アプリのパフォーマンスをチームに伝えます。
合成監視と同様に、RUMを使用すると、チームはアプリのパフォーマンスと機能の詳細なデータを確認できるようになります。ただし、シミュレートされたユーザー・エクスペリエンスを監視するのではなく、実際のユーザーの実際のエクスペリエンスを観察するため、エンドユーザー・エクスペリエンスに対するFull Stack Observability(フルスタックの可観測性)が実現し、いっそうきめ細かな意思決定が容易になります。
検証監視では、テスト・スクリプトを送信して、正しいAPI応答、データ形式、ステータス・コードの検証に加え、システム・コールが適切なデータを返すかどうかを検証することで、APIが期待どおりに動作するかどうかを評価します。検証監視は、複数ステップのプロセス、またはAPIの基礎となるロジックやデータ処理に関する問題を特定するのに特に役立ちます。
約35%の企業が過去1年間に少なくとも1件のAPIセキュリティー・インシデントを経験しており、半数以上が複数のインシデントに直面していると報告しています。 1APIはデータを外部に公開するため、サイバー攻撃のターゲットとなる可能性が最も高いものの1つです。
セキュリティー監視は、失敗したログイン試行の追跡、API呼び出しパターンの異常なスキャン、データ侵害のチェックなどの操作を実装することにより、悪意のある攻撃者からの悪意のある攻撃からAPIを保護することに重点を置いています。セキュリティー監視は、許可されたユーザーのみがAPIデータにアクセスできるようにするために、暗号化や検証、認証プロトコル(OAuth 2.0、APIキー、JSONスキーマ検証など)の使用を含むことが多いです。これらのシステムは、フロントエンド・システムとバックエンド・システム間の安全なデータ送信も保証し、ハッキングやデータ盗難、 DDoS攻撃などのサイバー脅威から保護します。
Slackその他のアプリやウェブ・サービスは通常、マネージドAPIとサードパーティAPIの両方に依存しているため、データ送信の問題が発生することがあります。統合監視は、APIとそれが通信する他のアプリやシステムとの間の相互作用をテストし、システムの各部分が期待通りに連携していることを確認し、システム間のインターフェースにおける問題を特定し、これに対処します。この種の監視は、複数の独立したサービスがAPIを通じて相互作用する、マイクロサービス・アーキテクチャ内で作業する場合に特に有用です。
APIの中でも、特に医療業界や金融業界で運用されているAPIは、ユーザーや企業の機密データを送信することが多いため、コンプライアンス監視プロセスの必要性が高まっています。
コンプライアンス監視により、APIが関連するプライバシー標準(HIPAA など)や業界固有の標準(支払い処理のPCI DSSなど)、さらには社内標準に準拠していることが保証されます。チームは、法的コンプライアンスとクライアントの信頼を維持するためのプロセスの中でも特に、データ処理操作、暗号化標準、アクセス制御メカニズムを追跡できます。
APIは時間の経過とともに進化し、新機能の追加や旧機能の廃止、特定の機能の動作方法の変更が行われます。これらの変更があった場合は、APIに依存するアプリケーションが更新によって悪影響を受けないよう、移行の監視が重要です。バージョン管理の監視により、チームは通常、新バージョンのリリースを確認し、APIの変更を経時的に追跡できます。
バージョン管理の監視には、バージョン間の機能の比較や、新しいAPIバージョンの採用率の追跡、廃止された機能に関連するエラー率の監視、アプリのバージョン全体でのAPI使用量の追跡などが含まれることがあります。このタイプの監視は、APIの構造や機能の変更中に発生する問題を特定するのに有用で、将来のAPI変更の通知が可能です。
アプローチに関係なく、チームはリアルタイム監視を優先し、アプリケーションのパフォーマンスに関する即時フィードバックを取得し、ユーザーやパートナーに対するサービス停止を引き起こす前に問題を解決する必要があります。さらなる利点として、リアルタイム監視は多くの場合、ダッシュボードとステータス・ページを通じて視覚化され、即時にインサイトを提供し、システム・アラートを自動化できます。どちらも高可用性や重要なワークフローを管理するために不可欠なプロセスです。
APIは、最新のアプリケーション・アーキテクチャと自動化ワークフローを結合する接着剤であるため、APIを最適な状態に保つことで、ITインフラストラクチャがより高速かつ機敏になります。効果的かつ包括的なAPI監視プロセスを実装するために、 DevOpsとセキュリティー・チームは次のことを行うことができます。
監視プロトコルの設定前に、明確な目標を設定する必要があります。つまり、可用性や応答時間、スループット、エラー率などの側面に関するKPIを定義することを意味します。当然のことながら、KPIはより広範な組織目標や消費者のニーズと合致していなければなりません。
一部の API ネットワークの規模の大きさを考慮すると、API監視ツールに頼るのは当然のことです。高度なAPIデータ可観測性プラットフォーム(Postman、Datadog、IBM Instana Observabilityなど)は、HTTPキーワードチェックやDNSサーバー監視などの機能を使って、監視プロセスを自動化・効率化できます。監視サービスを評価するときは、その機能や使いやすさ、技術スタックの互換性、コストを考慮して、適合性を確保します。
このプロセスは監視ツールによって異なりますが、通常、エンドポイントの設定、APIテストの定義、監視のスケジュールという3つの主要なタスクが含まれます。
エンドポイントを設定するには、監視ツールがテスト・スクリプトを実行する場所と方法を認識できるように、チームはAPIエンドポイントのURLやHTTP応答コード、必要なヘッダーまたはパラメーターを提供する必要があります。このフレーズが示すように、テストの定義は、APIパフォーマンス検証のために実行されるテスト監視ツールを構成するプロセスです。監視スケジュールを設定は、チームがツールが選択したテストを実行する頻度を決定するだけで済みます。
アラートは、システムの問題を即座に通知し、ユーザーに影響を及ぼす前にチームが問題に対処できるようにするため、あらゆる監視システムの不可欠な要素です。ほとんどの監視ツールでは、API応答時間が特定のしきい値を超えたときや、特定の時間枠内に特定の数のエラーが発生したときなど、さまざまな条件に基づいてアラートを構成できます。
APIは進化するため、APIパフォーマンス・データとインサイトを定期的に見直し、監視プロトコルが依然として適切であるか確認することが重要です。根本的な問題を示す可能性のある履歴データの傾向とパターンを探します。たとえば、APIの応答時間が特定の時間帯で一貫して高い場合は、その時間帯により多くのリソースが必要であることを示している可能性があります。
- 自動化された事前設定済み監視スケジュール。チームは、APIのライフサイクル全体にわたって、日常のメンテナンスを最小限に抑えながら、完全に自動化された APIテスト・スクリプトを定期的に実行できます。
- グローバル化されたテスト機能。 チームは世界中のエンドポイントをテストし、問題やエラーの規模を把握できます。
- データの可視性の向上。 管理しているAPIとサードパーティ・プロバイダー(クレジットカード会社など)が管理するAPIの両方の監視データがチームに表示されます。
- 即時エラー・アラート。 問題が発生すると、チームは監視プラットフォームを始め、SMSやEメール、またはその他のチャネルを通じて即座に通知を受け取ります。
IBM Instanaは、必要なコンテキストを備えた必要なデータの取得に使用できるソリューションを関係者全員に提供することで、オブザーバビリティーを民主化します。クラウドネイティブ向けに構築されながら、テクノロジーにとらわれないこのプラットフォームは、モバイル、ウェブ、アプリケーション、インフラストラクチャー全体での論理的および物理的な依存関係のコンテキストを持つ、忠実度の高いデータ(1秒単位の粒度とエンド・ツー・エンドのトレース)を自動的かつ継続的に提供します。
IBM Instana ObservabilityによるAPI監視は、APIの可用性、信頼性とパフォーマンスを確保しながら、シームレスなデジタル体験を実現します。
IBM、2023年ガートナー・レポート:API Managementにおける重要な機能でリーダーに選出
REST APIは、アプリケーションを統合するための柔軟で軽量な方法を提供し、マイクロサービス・アーキテクチャーでコンポーネントを接続するための最も一般的な方法としての地位を確立しました。
アプリケーションのモダナイゼーションとは、主にモノリシックなレガシー・アプリケーションを、マイクロサービス・アーキテクチャ上に構築されたクラウド・アプリケーションに変換することを指します。