© 2026 Akamai Technologies
デジタルバンキングにおける安全なイノベーションの推進
国際的なプレゼンスを誇るヨーロッパ最大の金融機関の 1 つである Commerzbank は、API を活用した革新的なデジタルサービスを通じて顧客に価値を提供しています。同行はごく初期段階から、CRUD(作成(Create)、読み取り(Read)、更新(Update)、削除(Delete))操作を起点とし、再利用性の高いソリューションを作成することに重点を置いていました。このアプローチにより、卓越したスケーラビリティと伸長性の基盤が築かれ、時間の経過とともに内部および外部の API をエコシステムに統合しやすくなりました。
しかし、AI によって加速する時代において、Commerzbank は、従来のセキュリティ・バイ・デザインの対策では、顧客の信頼を維持し、安全でシームレスなアクセスに対する高まる期待に応えるには不十分であることを認識していました。同行は、OWASP 原則への準拠、明確かつクリーンなインターフェース定義、厳格なポリシー、セキュリティが確保されたトークン概念、定期的な侵入テストなど、幅広い堅牢なメカニズムを導入しました。しかし、脅威と複雑さが増大するにつれ、Commerzbank はリアルタイムで適応できるソリューションを必要としていました。
そのために、同行は Akamai および Deloitte と提携し、既存の API 管理プラットフォームを強化および拡張する、専用の API セキュリティレイヤーを導入しました。この取り組みにより、異常の検知、管理されていないシャドウ API の発見、部門間のガバナンスの強化を実現しながら、API エコシステムの拡大に合わせたアジリティ、コンプライアンス、および安全なスケーリング能力を維持できました。
API ゲートウェイを超えた可視性の拡大
Commerzbank は、毎月 60 億件を超える API コール を処理し、顧客、パートナー、行内アプリケーションから成る広大なデジタルエコシステムをサポートしています。2017 年以降、同行は Axway Amplify API Management Platform を使用して行内 API とインターネットに面した API の両方を管理していました。しかし、脅威の巧妙化に伴い、Principal Software Engineer 兼 Solutions Architect の Volker Sulzbach 氏は、強力な API 防御の必要性を認識するようになりました。
「当行の API 管理プラットフォームはその役割を十分に果たしています」と、Sulzbach 氏は述べています。「しかし、API の異常なふるまいや潜在的な攻撃を、問題が発生する前に特定する手段が必要でした」
同行の SOC はファイアウォールなどの広範なネットワーク保護を担当していましたが、Sulzbach 氏のチームは、イノベーションの勢いを阻害することなく、すべてのビジネス関連 API を直接監視し、異常やシャドウ API を早期に検知したいと考えていました。
Akamai API Security の概要
複数のベンダーを評価した結果、Commerzbank は Akamai の API Security ソリューションを選択しました。このソリューションは、環境全体で API を継続的に探索し、分類し、保護します。「異常検知は、当行にとって最優先事項でした」と、Sulzbach 氏は述べています。
「単なるコールごとの検査だけでなく、ふるまいに基づく評価が必要でした。Akamai はそれを可能にします」と同氏は続けます。機械学習を活用した異常検知により、API Security は異常な API 動作、潜在的な悪用、シャドウ API を特定し、管理対象と管理対象外のエンドポイントの両方を完全に可視化します。
「API Security が「野良」API を特定し、開発段階でセキュリティを組み込むのに役立つことに感銘を受けました」と、Sulzbach 氏は説明します。
保護を数千の API に拡張
実装の最初のフェーズは、本番稼働前に API のシミュレーションとテストを行うために使用される、Commerzbank のサンドボックスゲートウェイから始まりました。チームが API Security の正確性と応答性を検証した後、最初に約 25 の本番環境 API を保護しました。
「まず、ルールを整備し、フォールス・ポジティブ(誤検知)を減らし、チームがアラートに対応できるようにしたいと考えました。次の段階では、API Security の使用を拡大しました」と Sulzbach 氏は説明します。
この拡大により、最終的には数千もの API とエンドポイントがカバーされ、内部トラフィックと外部トラフィックの両方で継続的な可視性とセキュリティが提供されます。
ガバナンスとコンプライアンスの目標の補完
このソリューションは、セキュリティにとどまらず、Commerzbank の API ガバナンス戦略も進化させました。同行は、一貫性と透明性を確保するために、API に厳格な命名規則およびフォーマット基準を適用しています。しかし、一部の API 所有者はこれまで、リリース加速のため、略語やドイツ語の用語の使用を避けるなどのルールを無視していました。
API Security を使用すれば、このようなことはなくなります。「現在では、ビジネス関連の API をすべて把握できるようになりました。つまり、API が当行のガバナンスルールに従っていることを確認できるようになったのです」と、Sulzbach 氏は述べています。「この可視性により、経営陣との連携が可能になり、欧州中央銀行などの規制当局に API をプロアクティブに保護していることを証明することができています」
オンプレミスファーストで、SaaS の柔軟性を活用
Akamai は API Security を SaaS として提供していますが、Commerzbank はより優れた制御とより迅速な導入を実現するために、オンプレミスでのオンボーディングから始めることを選択しました。この段階的なアプローチにより、チームは自信を持ってポリシーを調整し、セキュリティフレームワークの成熟に合わせて最終的にクラウドネイティブのワークフローと統合できています。
「クラウドを拒否する意図はありませんでした。迅速に開始し、ソリューションを検証し、セキュリティデータを内部に保持しながら、検知のメリットをすべて得たいと考えていたのです」と、Sulzbach 氏は説明します。
Deloitte と提携して迅速な展開を実現
導入と設定を合理化するために、Commerzbank は Deloitte と提携し、技術的サポートおよび戦略的サポートを提供しました。この連携は、セットアップの迅速化、ルールの微調整、プラットフォームを長期的に管理するための行内チームの準備に役立ちました。
「Deloitte は当行の環境と Akamai のテクノロジーを徹底的に把握しており、明確なガイダンスと専門知識を提供することで導入を合理化してくれます」と Sulzbach 氏は述べています。
グローバル規模での継続的な API 保護
Commerzbank は、Akamai API Security を採用したことで、ますます相互接続が進む金融エコシステムにおいて、リスクの軽減、コンプライアンスの強化、安全なイノベーションを実現できるようになりました。同行のロードマップには、API Security をすべてのビジネス主導型 API に統合し、設計からランタイムまで継続的な保護を実現することが含まれています。最終的には、API 所有者に潜在的な悪用を警告し、チームが脆弱性を早期に修正できるようにし、脅威を自動的にブロックすることさえも可能になります。
「当行は、広大な API 環境を可能な限り最善の方法で保護したいと考えています。これを実現可能にするのが、API Security です。当行のビジネスに重要なすべての API をカタログ化し、スキャンし、保護してくれるからです」と、Sulzbach 氏は締めくくりました。
Commerzbank について
Commerzbank は、法人顧客と個人および中小企業顧客という 2 つの事業セグメントを擁し、総合銀行として包括的な金融サービスポートフォリオを提供しています。ドイツ国内の法人顧客とドイツのミッテルシュタント(中小企業)向けの大手銀行であり、約 24,000 の法人顧客グループのための強力なパートナーです。4,000 億ユーロを超える資産を運用する Commerzbank は、ドイツの民間および中小企業顧客向けの大手銀行の 1 つでもあります。オンラインおよびモバイル、電話またはビデオによるリモート相談窓口、約 400 の支店での対面対応など、オムニチャネルアプローチに基づく広範な商品とサービスを提供しています。
Akamai について
Akamai は、オンラインビジネスの力となり、守るサイバーセキュリティおよびクラウドコンピューティング企業です。当社の市場をリードするセキュリティソリューション、優れた脅威インテリジェンス、グローバル運用チームによって、あらゆる場所でエンタープライズデータとアプリケーションを保護する多層防御を利用いただけます。Akamai のフルスタック・クラウド・コンピューティング・ソリューションは、世界で最も分散化されたプラットフォームで高いパフォーマンスとコスト効率を実現しています。多くのグローバル企業が、ビジネスの成長に必要な業界最高レベルの信頼性、拡張性、専門知識を提供できる Akamai に信頼を寄せています。詳細については、akamai.com/ja および akamai.com/ja/blog をご覧いただくか、X や LinkedIn で Akamai Technologies をフォローしてください。