APIセキュリティ調査：ほとんどの企業でAPIのリスクを課題視しながら、API に特化した攻撃で優先すべき対策との認識にギャップが生じていることが明らかに

※本リリースは2023年7月18日 (現地時間)マサチューセッツ州ケンブリッジで発表されたプレスリリースの抄訳版です。

「2023 SANS Survey on API Security(※1)」（2023年SANS APIセキュリティ調査）では、APIセキュリティ・テスト・ツールを導入している回答者の割合は50%未満であり、APIディスカバリーツールを導入している回答者の割合はさらに少ない（29%）ことが判明しました。また、レポートによると、DDoS対策サービスや負荷分散サービスに含まれるAPIセキュリティコントロールは「十分に活用されていない」とされており、この機能を利用している回答者の割合はわずか29%でした。

※1： https://www.akamai.com/ja/lp/report/sans-analyst-report-on-api-security-trends

AkamaiはSANS Institute(※2)と協力して2023年第1四半期にこの調査を実施し、APIセキュリティリスクへの対処に関するエンタープライズの意識、準備状況、将来的な計画について調査しました。主に事業者のアプリケーションセキュリティに関与する、または関与予定のある立場の世界中の231人の回答者が調査に参加しました。

※2：https://www.sans.org/mlp/2/ 

モダンなアプリケーションは、ますますAPIを利用するようになり、ビジネスプロセスに対応して、効率的にビジネスパートナーや顧客が企業と協力できるようにするために必要なコミュニケーションにビジネスプロセスを組み込んでいます。「セキュリティギャップのすり抜け」(※3)と題したAkamaiの最新の「インターネットの現状 (SOTI) 」レポートでは、2022 年はアプリケーション攻撃とAPI攻撃の記録が塗り替えられた年とされています。

※3：https://www.akamai.com/ja/resources/state-of-the-internet/slipping-through-the-security-gaps-the-rise-of-application-and-api-attacks 

今回の調査では以下のことがわかりました。 

●62%の回答者は、APIリスク緩和の一環としてWebアプリケーションファイアウォールを利用しています。

●57.1%の回答者は、APIインベントリの精度が25-75%であると回答しています。

●ほとんどの回答者は、OWASP（Open Web Application Security Project）Application Security Top10リストとOWASP API Top10リストについて言及し、アプリケーションとAPIのリスクを定義するための基礎としてMITRE ATT&CK Frameworkを取り上げています。OWASP API Top10の上位は、APIの実装に特有の脆弱性を悪用した攻撃が占めています。

●それにも関わらず、APIセキュリティに関する懸念事項の第1位はフィッシング（38.3%）、第2位はパッチの見落とし（24%）であり、脆弱なアプリケーション／APIの悪用（12%）、過失による機微な情報の開示（9.1%）はそれに続く位置にあげられています。本レポートの結論では「利用中のAPIの発見と（APIごとに異なる）脆弱性の評価を最上位にする必要がある」と述べています。

●76%の調査参加者は、開発者に対してアプリケーションセキュリティに関するトレーニングを実施していると回答しています。

Akamai Application Security部門のSenior Vice President兼General Managerである Rupesh Chokshiは「この新たな調査は、2023年以降も重要なセキュリティ上の問題であり続けるトピックに対する、産業界の見方を示しています。調査の結果、脆弱なAPIが攻撃に最もよく利用されるアクセスのポイントとなっていることを踏まえ、企業は多くのAPIがどこでどのように稼働しているかにもっと注目する必要があることが分かりました」と、述べています。

SANSのDirector of Emerging Security TrendsであるJohn Pescatore氏は「この調査の重要なポイントは、強力な(API)認証、APIアセットのインベントリおよび脆弱性の管理、（APIの）変更管理などのセキュリティ健全性コントロールによって、API（特有の）セキュリティに関する課題に対処する必要があるということです。API中心の攻撃に対処するための防止と検知を強化する必要があり、その上でインフラサービス（CDNやサービス妨害フィルタリングなど）を活用する必要があります」と、語りました。

Akamaiについて：
Akamaiはオンラインライフの力となり、守っています。世界の先進企業がAkamaiを選び、安全なデジタル体験を構築して提供することで、Akamaiは、毎日、世界中の人々の生活、仕事、娯楽をサポートしています。超分散型のエッジおよびクラウドプラットフォームであるAkamai Connected Cloudは、アプリと体験をユーザーに近づけ、脅威を遠ざけます。Akamaiのセキュリティ、コンピューティング、デリバリーの各ソリューションの詳細については、akamai.comおよびakamai.com/blogをご覧いただくか、TwitterとLinkedInでAkamai Technologiesをフォローしてください。

※AkamaiとAkamaiロゴは、Akamai Technologies Inc.の商標または登録商標です

※その他、記載されている会社名ならびに組織名は、各社の商標または登録商標です

※本プレスリリースの内容は、個別の事例に基づくものであり、個々の状況により変動しうるものです