ドメイン番人
AI エージェント対応Web 担当者DNS

api-catalog とは?RFC 9727 を解説

ドメイン番人4 分で読めます
目次

この記事でわかること

  • /.well-known/api-catalog と RFC 9727 が何を定めているか
  • 何が「機械可読」で公開され、ツールや自動処理にどう役立つか
  • 採用が進んでいない今、中小企業サイトはどう考えればよいか

/.well-known/api-catalog とは

/.well-known/api-catalog は、サイトが提供する API の一覧を決まった場所で公開するための仕組みです。サイトの直下に置かれたこのパスにアクセスすると、そのサイトが公開している API へのリンクをまとめたドキュメントが返ってきます。

これを定めているのが RFC 9727「api-catalog: A Well-Known URI and Link Relation to Help Discovery of APIs」です。これは検討中のドラフトではなく、IETF から発行済みの標準として公開されています。つまり「将来こうなるかもしれない」話ではなく、すでに参照できる確定した仕様です。

ねらいはシンプルで、人間がドキュメントを探し回らなくても、ツールや自動処理が決まったパスを読むだけで「このサイトにはどんな API があるか」を把握できるようにすることです。

api-catalog で API 一覧を発見する流れ

RFC 9727 の要点

RFC 9727 のポイントは次のとおりです。

  • パスは固定: /.well-known/api-catalog という決まったパスに置きます。クライアントは事前知識なしにこの場所を試せます
  • 形式は application/linkset+json: api-catalog リソースは、RFC 9264 で定義された Linkset 形式である application/linkset+json を返すことが必須(MUST)です。他の形式はコンテンツネゴシエーションで返してもよい(MAY)とされています
  • HTTPS で提供すべき(SHOULD): 中身が API の入口情報である以上、改ざんを防ぐため暗号化された経路での提供が推奨されます

返ってくるドキュメントには、公開している各 API への情報とリンクが含まれます。たとえば API ごとの定義ファイル(OpenAPI など)や、利用方法の説明ページへのリンクを並べておけます。

何が機械可読になるのか

ここで言う「機械可読」とは、人間向けの説明ページを読まなくても、プログラムがそのまま解釈できる形でデータが並んでいる状態を指します。

linkset+json で API のリンク集合を返す

application/linkset+json では、各 API の場所(anchor)と、それが何へのリンクなのか(API 定義なのか説明文書なのか)を構造化して並べます。これにより、ツールや自動処理は一覧をまとめて読み取り、必要な API へ自動でたどり着けます。これは、サイトの機能を AI エージェントなどに見つけてもらう「AI エージェント対応とは」の文脈で語られる、機能公開の手段の 1 つです。同じ /.well-known/ の下で MCP サーバの場所を伝えるMCP Server Card とはと合わせて押さえておくと、機能公開の全体像がつかめます。

中小企業サイトはどう考えるか

正直に言えば、api-catalog は今すぐ全サイトが用意すべきものではありません。標準化から 1 年以上が経ちますが採用はまだ限定的で、2026 年 5 月時点で実際に Linkset を配信しているのは 4 社程度という調査もあります。

裏を返せば、公開すべき API を持つサイトにとっては先行できる余地が大きい領域だということです。判断の目安は次のとおりです。

  • 外部に公開している API がない、または問い合わせフォームだけ、という場合は当面は不要です
  • 開発者や取引先に使ってもらう API を公開しているなら、決まったパスで一覧を示す価値があります
  • 着手する場合も、まず HTTPS で安全に配信できる土台が整っていることが前提になります

よくある質問

RFC 9727 はまだドラフトですか

いいえ。RFC 9727 は IETF から発行済みの標準です。仕様は確定しており、今の時点で参照・実装できます。

api-catalog を置くと API が誰でも使えてしまいますか

api-catalog は「API の一覧と場所を案内する」仕組みであり、認証やアクセス制御を肩代わりするものではありません。各 API 側の認証や公開範囲の設定は、これまでどおり別途整える必要があります。

どの形式で返せばよいですか

application/linkset+json(RFC 9264 の Linkset 形式)への対応が必須です。他の形式は、リクエストに応じてコンテンツネゴシエーションで追加してもよい位置づけです。

まとめ

  • /.well-known/api-catalog は、サイトの API 一覧を決まったパスで公開する仕組み
  • RFC 9727 は発行済みの標準で、application/linkset+json での提供が必須、HTTPS が推奨
  • 機械可読の一覧により、ツールや自動処理が機能を自動で発見できる
  • 採用はまだ限定的なので、API を公開するサイトにとっては先行の好機

自社サイトの土台を確認しませんか

api-catalog のような機能公開は、HTTPS と DNS が正しく整っていることが前提です。自社ドメインの SPF / DKIM / DMARC / SSL / DNS の状態は、ドメイン番人の無料診断で数十秒で確認できます。単発のチェックツールは無料ツール一覧にまとめています。

関連記事

次の一歩は無料診断から。

無料診断を試す →相談したい方はこちらから