「Postman API Night Tokyo 2025 Winter」に参加してきました

• 2025/2/3
• https://postman.connpass.com/event/338064/

Postman Vaultを使った秘密情報の安全な管理

草薙 昭彦さん (Postman)
https://speakerdeck.com/nagix/postman-vaultwoshi-tutami-mi-qing-bao-noan-quan-naguan-li

• 秘密情報の管理
  • Postmanで扱う秘密情報
    • APIキーやアクセストークン
    • 個人情報の送信
  • クラウドに保存されるデータ
    • 編集できる情報は暗号化して保存されてる
    • 変数の初期値ではなく現在地はローカルのみに保存
  • 送信されないようにするには
    • そもそもダミーデータを使う
    • 動的変数でフェイカーを使う
    • ローカルファイルから読み込む
  • データ送信の検知
    • シークレットスキャナー
  • APIキーや認証情報
    • Postman Vaultを使う
• Postman Vault
  • Postmanのローカルインスタンスで暗号化して保存される
  • 表示される場面では基本マスク化される
  • 初回はvaultのキーを生成して安全な場所に置く
  • スケジュール実行やNewmanなどでは現在利用できない
  • サインアウトするとリセットされる
  • デスクトップアプリとWebは別扱い

APIに潜む不正な通信をあぶりだすCloudflare API Shield・・・をPostmanからテストするデモ

亀田 治伸さん（Cloudflare）

• WAAP(Web Application and API Protection)
  • ガートナーが定義したWAFの再定義
  • 従来のWAFだけでは足りない
• API Shield
  • DDoS保護
  • 認証
  • ポジティブAPIセキュリティモデル
    • 従来はダメなものをブロック
    • OpenAPIの情報を登録してそれに沿ったものだけ通す
  • 異常検知
  • 機密データの検知
    • 通信のレスポンスも確認できる
• API Schema Validation
  • API Shieldは有償だがそれを無償提供してる

AIをプロダクトに実装するならAPIで分離しよう〜タクシーアプリ『GO』のアーキテクチャ実例紹介

Atsushi Morimotoさん (GO株式会社)

• タクシー乗務員向けの需要予測サービス
  • AIを活用してどのルートを通ると客を拾いやすいか分かる
    • 定期的に需要予測を算出するバッチ
    • リアルタイムに経路を取得するAPI
    • 社内のAndroid端末からAPIをたたく
  • エラーおきた時の再現が難しい
    • 右左折多かったり明らかに人がいなさそうな経路を出されることがある
    • 計算処理をステートレスにモジュール化
    • inputをリクエストごとにバックアップとるように
    • それらから再現できるように
• 配車マッチングサービス
  • 配車依頼と車両の最適なマッチング
  • DBに依頼をためてエリアごとに数秒間隔でバッチ実行

sunabarにおけるPostman活用例

矢上 聡洋さん(GMOあおぞらネット銀行)

• GMOあおぞらネット銀行
  • 法人にフォーカス
  • API提供
  • SaaS
  • 内製開発してる
• 銀行API
  • fintech企業のスピード感とのギャップ
  • 個人や中小でも使いたい
• sunabar
  • 常時接続可能な実験環境を無償提供している
    • API実験場
    • コミュニティ
  • 銀行勘定系のシミュレータ
  • テストアカウントでログインしたり送金したりもできる
  • APIのサンプルをPostmanですぐたたけるようにファイルを公開してる