Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AI時代のガードレールとしてのAPIガバナンス

Avatar for 草薙昭彦 草薙昭彦
April 22, 2026
Technology
32
0

 AI時代のガードレールとしてのAPIガバナンス

AIエージェントがシステムの主要な利用者となり、AIによるコード生成がAPIの爆発的増加を招く時代において、APIは単なる接続点ではなくシステムの実行品質を決定づける基盤へと変質しています。本セッションでは、AI時代においてAPIガバナンスが単なるコンプライアンスの枠組みを超え、システムの安定性とスケーラビリティを担保するための「エンジニアリング上のガードレール」としていかに機能すべきかを考察します。Techlead Conference 2026での発表資料です。

Avatar for 草薙昭彦

草薙昭彦

April 22, 2026

More Decks by 草薙昭彦

See All by 草薙昭彦
AI時代のAPIファースト開発
Avatar for 草薙昭彦 nagix
2
1.1k
自然言語でAPI作業を片付ける!「Postman Agent Mode」
Avatar for 草薙昭彦 nagix
0
110
自然言語でAPI作業を片付ける!「Postman Agent Mode」
Avatar for 草薙昭彦 nagix
0
250
GTFS box - GTFS/GTFS Realtime ビューア
Avatar for 草薙昭彦 nagix
1
73
AIエージェントがアプリケーション開発の未来を変える
Avatar for 草薙昭彦 nagix
3
1.7k
The New Developer:AIはアプリケーションの作り方をどう変える?
Avatar for 草薙昭彦 nagix
0
100
GTFS box - GTFS/GTFS Realtime ビューア
Avatar for 草薙昭彦 nagix
0
100
Postman AI エージェントビルダー最新情報
Avatar for 草薙昭彦 nagix
0
200
現場で役立つAPIデザイン
Avatar for 草薙昭彦 nagix
5
1.1k

Other Decks in Technology

See All in Technology
Azure Speech で音声対応してみよう
Avatar for kosmosebi kosmosebi
0
130
ある製造業の会社全体のAI化に1エンジニアが挑んだ話
Avatar for 北見海貴 kitami
2
990
Bluesky Meetup in Tokyo vol.4 - 2023to2026
Avatar for Takuma Shinohara shinoharata
0
190
NOSTR, réseau social et espace de liberté décentralisé
Avatar for Renaud Lifchitz rlifchitz
0
180
"SQLは書けません"から始まる データドリブン
Avatar for kubell kubell_hr
2
440
3つのボトルネックを解消し、リリースエンジニアリングを再定義した話
Avatar for Nealle nealle
0
490
JEDAI in Osaka 2026イントロ
Avatar for Takaaki Yayoi taka_aki
0
230
非エンジニア職からZOZOへ 〜登壇がキャリアに与えた影響〜
Avatar for ikechi penpeen
0
480
LLM時代の検索アーキテクチャと技術的意思決定
Avatar for shibuiwilliam shibuiwilliam
1
100
BigQuery × dbtでコスト削減した話
Avatar for 株式会社ライトコード rightcode
0
150
Zero-Downtime Migration: Moving a Massive, Historic iOS App from CocoaPods to SPM and Tuist without Stopping Feature Delivery
Avatar for kagemiku kagemiku
0
240
研究開発部メンバーの働き⽅ / Sansan R&D Profile
Avatar for Sansan, Inc. sansan33
PRO
4
23k

Featured

See All Featured
What the history of the web can teach us about the future of AI
Avatar for Ines Montani inesmontani
PRO
1
520
SEO Brein meetup: CTRL+C is not how to scale international SEO
Avatar for Linda Hogenes lindahogenes
1
2.5k
Paper Plane
Avatar for Katie Cordina Lindsey katiecoart
PRO
1
49k
Utilizing Notion as your number one productivity tool
Avatar for Mfonobong Umondia mfonobong
4
290
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
37
7.2k
Being A Developer After 40
Avatar for Adrian Kosmaczewski akosma
91
590k
Primal Persuasion: How to Engage the Brain for Learning That Lasts
Avatar for Mike Taylor tmiket
0
320
Leo the Paperboy
Avatar for Maya Tellez mayatellez
7
1.6k
So, you think you're a good person
Avatar for Per Axbom axbom
PRO
2
2k
Product Roadmaps are Hard
Avatar for C. Todd Lombardo iamctodd
PRO
55
12k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
38
2.8k
Designing for humans not robots
Avatar for Tammie Lister tammielis
254
26k

Transcript

  1. All rights reserved by Postman Inc 草薙 昭彦 テクノロジーエバンジェリスト AI

    時代のガードレール としての API ガバナンス #TechLeadConf2026

  2. テクノロジーエバンジェリスト Postman 株式会社 草薙 昭彦 @postman_japan @nagix

  3. 本日のトピック • パラダイムシフト • リスクの正体 • API ガバナンスのガードレール • Postman:AI-ready

    API プラットフォーム @postman_japan

  4. パラダイムシフト @postman_japan

  5. ソフトウェア開発の主役が変わる • 人間中心の DX(Developer Experience)から、AI エージェント中心の AX(Agent Experience)へ • コーディングエージェント(Devin、Claude

    Code 等)による自律的開発の 常態化 @postman_japan API と連携することで初めて AI は「自ら考え、行動」できる

  6. 「AI がうまくやってくれるから API 管理は 不要」という誤解 • 現実は逆 エージェントが自律的に動くからこそ、 彼らが叩く API

    が「無法地帯」であれば ビジネスリスクは指数関数的に増大する • 技術リーダーの悩み 実装スピードは上がるが、安全性と統制 (ガバナンス)をどう両立するか? @postman_japan

  7. リスクの正体 @postman_japan

  8. OWASP Top 10 for Agentic Applications @postman_japan 2026 Agent Goal

    Hijacking (目的のすり替え) Agentic Supply Chain Vulnerabilities (外部コードや説明による汚染) Tool Misuse & Exploitation (ツールの不正利用) Identity & Privilege Abuse (認証情報・権限の濫用) Unexpected Code Execution (予期しないコード実行) Memory & Context Poisoning (長期記憶・コンテキストへの汚染) Human-Agent Trust Exploitation (もっともらしい説明の過信) Insecure Inter-Agent Communication (エージェント間通信が安全でない) Cascading Failures (他エージェントへの障害の連鎖) Rogue Agents & Behavioral Drift (時間の経過後のポリシー逸脱) ASI01 ASI02 ASI03 ASI04 ASI05 ASI06 ASI07 ASI08 ASI09 ASI10

  9. Cascading Failures (他エージェントへの障害の連鎖) ASI08 Identity & Privilege Abuse (認証情報・権限の濫用) ASI03

    Tool Misuse & Exploitation (ツールの不正利用) ASI02 API 観点でのエージェント特有の脆弱性 @postman_japan Agent Goal Hijacking (目的のすり替え) Agentic Supply Chain Vulnerabilities (外部コードや説明による汚染) Unexpected Code Execution (予期しないコード実行) Memory & Context Poisoning (長期記憶・コンテキストへの汚染) Human-Agent Trust Exploitation (もっともらしい説明の過信) Insecure Inter-Agent Communication (エージェント間通信が安全でない) Rogue Agents & Behavioral Drift (時間の経過後のポリシー逸脱) ASI01 ASI04 ASI05 ASI06 ASI07 ASI09 ASI10 Tool Misuse & Exploitation (ツールの不正利用) Identity & Privilege Abuse (認証情報・権限の濫用) ASI02 ASI03 Cascading Failures (他エージェントへの障害の連鎖) ASI08 API(ツール)に制約がないと想定外の利用のリスク 利用者権限の粒度・スコープ・ 期間に問題がある場合に不正 操作・漏洩の恐れ 増幅されたエラーが API への 入力になる

  10. 信頼の境界( Trust Boundary)の再定義 • NIST AI RMF Risk Management Framework)

    が示す AI 時代の境界 線 ◦ AI システムとその周辺環境(利用者、データソース、外部システム、AI アクター)との間で、「信頼できる領域」と「信頼できない領域」を分ける 物理的または論理的な境界線 ◦ API は重要な信頼の境界 • ネットワークの壁ではなく、API という「実行の門番」で AI の暴走を止める @postman_japan

  11. AI 開発に伴う API 大爆発と技術負債の制御 • 管理不能な API の増殖が、将来のメンテナンスコストを指数関数的に増大 させる @postman_japan

    発見の困難性 エージェントが似たような API を次々と生成し、ど れが正解か誰もわから ない 責任の不明確性 エージェントが作った API のオーナーは誰 か?脆弱性が見つかっ た時に誰が修正するの か? 再利用性の欠如 既存の API を探すより 作る方が早いため、車 輪の再発明が繰り返さ れ、システムが肥大化

  12. API ガバナンスの ガードレール @postman_japan

  13. 両輪で支えるガードレールの全体像 • 構築時ガバナンス検証 設計、ドキュメント、 シミュレーション @postman_japan • 実行時ガバナンス検証 運用時の監視、検問、停止 AI

    への教育と地図の提供 現場での法執行

  14. API は知的なフィルターへ • AIエージェントの運用のためのガードレール4要素*: Permission / Approval / Audit /

    Kill Switch • これを API レイヤーでどう実現するか? ◦ 意図の検証とセマンティックバリデーション ◦ 動的認可 ◦ 出力(レスポンス)のサニタイズ ◦ キルスイッチとリソース制御 @postman_japan *https://www.querypie.com/en/features/documentation/white-paper/28/ai-agent-guardrails-governance-2026

  15. 意図の検証とセマンティックバリデーション • 単なる型チェックから「意味のチェック」へ • 「この操作はビジネスルールに反していないか?」を API 実行直前に AI 自身に(あるいは専用ゲートウェイに)検証させる @postman_japan

  16. 運用フェーズ で対応 設計・開発 フェーズで対応 シフトレフト・ガバナンス • 静的な管理(設計・テスト・ドキュメント)が不十分なまま動的ガードレールだ けで AI を制御しようとするのは、非効率で危険

    @postman_japan 開発ライフサイクル 対応 コスト ・ リスク 実行時ガバナンス検証 構築時ガバナンス検証

  17. AI-ready な API の設計図 • エージェントが迷わないための「厳密なメタデータ」と「カタログ化」 • 人間が注力すべきはコードを書くことではなく、「AI への指示書としての API」を磨き上げること

    • AIReady な品質基準をクリアしたものだけを公開し、将来の修正コストを 未然に防ぐ @postman_japan

  18. シナリオのテストとディスカバリ制御 • Agent-in-the-Loop による事前テストとシミュレーション ◦ API をデプロイする前に、エージェントにその仕様書(OpenAPI 等)を 渡して「正しく動けるか」をテストする •

    ディスカバリ(発見)における「視界の制限」による統治 ◦ エージェントに対して「今必要なツールだけを見せる」 @postman_japan

  19. Postman:AI-ready API プラットフォーム @postman_japan

  20. 企業全体で API ガバナンスを標準化 @postman_japan 標準化 ↑ (API 再利用の向上、 ドキュメントの標準化、テスト 自動化)

    API 機能障害 ↓ (ドキュメントの標準化、テス ト自動化、 ワークフロー効率化) 開発生産性 ↑ (仕様の再利用、 環境の標準化、API コレクションの共有) 統合 API 管理プラットフォーム 仕様設計 テスト ガバナンス CI/CD 標準化された API ライフサイクルと変更管理

  21. 豊富なビルトインガバナンスルール カスタムルールの定義も可能 開発者が自律的にガバナンス状況を意識す る Postman が提供する AX の実装 • ガバナンスルール

    :OpenAPI の設計段階でセキュリティ不備を自動検知 し、エージェントによる脆弱なコード生成を「シフトレフト」で防ぐ @postman_japan

  22. Postman が提供する AX の実装 • Postman Flows:エージェント自身の挙動をシミュレートし、API の堅牢性 を事前検証 @postman_japan

  23. Postman が提供する AX の実装 • reShapr:既存の API を AI(LLM)が扱いやすい形式にノーコードで変換・ 最適化する、オープンソースの

    MCP サーバー @postman_japan

  24. まとめ:AI を加速させるのは強固なガバナンス である • ガードレールはブレーキではない アクセルを全開にするための 「舗装された道路」である • Postman で、AI

    時代への準備が 整った API インフラを @postman_japan

  25. ありがとうございました @postman_japan