S4 MockAPI
セキュリティ製品APIシミュレータ
実在のセキュリティ製品APIと同じ振る舞いを返すモックサーバー。製品ライセンス無しでSIEM/SOAR連携を構築・テスト: Trend Micro Vision One互換のREST形状、Palo Alto Networks PAN-OS互換のXML API形状、加えて任意のOpenAPI 3.xドキュメント向け汎用モック。
S4 MockAPI は、セキュリティ製品APIの「形」 — ステータスコード、ヘッダ、認証フロー、ページネーション、レート制限・エラーボディ — を、公開APIドキュメントのみから再構成して再現します。データはすべて合成です。Vision One互換プロファイル(公開API v3.0): ETag/If-Matchフロー付きworkbenchアラート、エンドポイント在庫、エンドポイントアクティビティ検索、OAT検知、隔離/復元レスポンスアクション(207 Multi-Status)。PAN-OS互換プロファイル(11.x相当のXML API): keygen認証、opコマンド、ステートフルなcandidate-config CRUD、commitジョブのライフサイクル。
課題
SIEM/SOAR 連携を開発・テストするには、Trend Micro Vision One や Palo Alto Networks PAN-OS など本物のセキュリティ製品の API が必要ですが、ライセンスは高価で数も限られ、検証用に自由に使える環境を用意しにくいのが実情です。本番のセキュリティ機器を CI から叩くわけにもいかず、エラーやスロットリングといった失敗パスの再現も困難です。結果として、連携コードの動作確認が後回しになり、本番で初めて不具合が露見します。
仕組み
- 1
AMI を起動しプロファイルを選ぶ
AMI を起動すると既定で Vision One 互換プロファイルが :8080 で立ち上がり、設定ファイルで PAN-OS または汎用 OpenAPI へ切り替えられます。
- 2
連携先をモックに向ける
開発中のコネクタやパイプラインの接続先を本番 API からこのモックのエンドポイントへ差し替えるだけで、実機ライセンスなしにステータスコード・ヘッダー・認証・ページネーションを忠実に受け取れます。
- 3
障害を注入しリセットする
TOML シナリオで「3 回目に 500」「Retry-After 付き 429」「遅延」を決定的に注入し、テスト後は API 一発でファクトリーリセットして同じ状態から再実行できます。
特長
Vision One / PAN-OS互換のAPI形状に加え、汎用のOpenAPI 3.xモック — 1台で結合テストの対象面をカバー。
決定論的なフォールトインジェクション(n回目の500、スロットリング、レイテンシ)で、失敗経路のテストをCIで再現可能に。
1分未満で動くモックが起動。1回のAPIコールでファクトリーリセット。インスタンスから何も外に出ない。
含まれるもの
- Trend Micro Vision One 互換の REST プロファイル(公開 API v3.0): ワークベンチアラートの ETag/If-Match フロー、エンドポイントインベントリ、アクティビティ検索、OAT 検出、isolate/restore のレスポンスアクション(207 Multi-Status 含むタスクライフサイクル)。
- Palo Alto Networks PAN-OS 互換の XML API プロファイル(11.x 世代): keygen 認証、op コマンド、ステートフルな候補コンフィグの CRUD、commit ジョブのライフサイクル、非同期ログ取得。
- 汎用 OpenAPI 3.x モック: 任意の OpenAPI ドキュメントを与えると、各オペレーションが example とスキーマから生成したレスポンスで提供されます。
- ステータスコード・ヘッダー・認証フロー・ページネーション・レートリミット・エラーボディを公開ドキュメントどおりに忠実再現し、CI でスキーマ検証も実施。
- 決定的な障害注入: nth-call での 500、確率的な 429(Retry-After 付き)、遅延注入で失敗パスのテストを再現可能にします。
- API 一発のファクトリーリセット(POST /reset)と、シードファイルによる独自デモデータの差し替えに対応。
- 完全オフライン動作: 状態はメモリ内のみ、外向き通信は行わず、データはインスタンスの外に出ません。
こんな用途に
Vision One / PAN-OS / 任意の OpenAPI API に対する SIEM/SOAR コネクタやパイプラインを、実機なしで開発する。
決定的な障害注入とリセットを使い、CI で 500・スロットリング・遅延などの失敗パスを再現可能にテストする。
本番のセキュリティ製品に触れずに、パートナー向けデモや社内トレーニングを安全に実施する。
製品ライセンスを割り当てる前に、API 連携を学ぶエンジニアのオンボーディング環境として使う。
よくある質問
返ってくるのは本物のベンダーデータですか?
いいえ。返却されるデータはすべて合成データで、公開 API ドキュメントのみを基に再現した API の「形」(互換シェイプ)です。Trend Micro / Vision One / Palo Alto Networks / PAN-OS は各社の商標で、互換対象を示すために名義的に使用しているだけで、本製品はこれらベンダーと提携・推奨関係にありません。
CI で使えますか?
はい。CI 向けに設計されています。TOML シナリオによる決定的な障害注入(nth-call の 500、Retry-After 付き 429、遅延)で失敗パスを再現でき、テスト間は POST /reset でファクトリー状態に戻して同じ初期条件から実行できます。
データはインスタンスの外に出ますか?
いいえ。お客様の VPC 内で完全にオフライン動作します。状態はメモリ内のみで保持され、外向きの通信は行わず、合成データがインスタンスの外に出ることはありません。
どの API に対応していますか?
Trend Micro Vision One 互換の REST シェイプ(公開 API v3.0)、Palo Alto Networks PAN-OS 互換の XML API シェイプ(11.x 世代)、そして OpenAPI 3.x ドキュメントを与えれば任意の REST API を再現する汎用モック、の 3 つに対応します。
立ち上げにどのくらいかかりますか?
1 分未満で動作するモックが起動します。AMI を起動すると既定で Vision One 互換プロファイルが :8080 で自動的に立ち上がり、t3.micro 程度の小さなインスタンスで十分動作します。
料金モデル
時間課金のソフトウェア利用料 + EC2(幅広いインスタンスタイプに対応)。インスタンスタイプ別の従量課金。ライセンスキー不要。
