API セキュリティの調査:この1年間で41% の企業がインシデントを経験している

41% of businesses had an API security incident last year

2022/04/22 HelpNetSecurity — デジタル・トランスフォーメーションの波を受け、Web/Mobile ベースの統合型サービスが台頭し、製品間のデータ共有が大幅に増加したことで、Web API は急激な成長を遂げた。API への依存度が高まるにつれ、認証や認可の不備や、データの偶発的な漏洩や侵害など、API に関連するセキュリティ上の課題も増えている。

APIs security challenges

こうした懸念が高まり続ける中、451 Research and Noname Security のレポートは、今日の API 利用における主だった特質と、セキュリティ・リスクをカバーした上で、API セキュリティへの全体的アプローチにより、ユーザー・エクスペリエンスに対してゲートウェイを提供する、摩擦のない方法について取り上げている。

この 2022年1月に実施された調査は、さまざまな業界の 350 社以上のグローバル企業 (正社員 3,000人以上) を代表する IT 専門家の評価を反映し、今日の API セキュリティに関する主要な問題点を示している。また、他のエンタープライズ・クラスのセキュリティ・ソリューションの効果や、API インベントリの正確な維持と。ユーザー認証の要求などの、有効な API セキュリティ・ソリューションの特徴についても取り上げている。

API セキュリティの課題

  • API の活用は顕著であり、調査に回答した組織で使用されている平均的な API 数は15,564 個であり、この12カ月間の増加率は 201% となっている。
  • 回答企業の 41% は、この12ヶ月間に API セキュリティ・インシデントを経験し、そのうち 63% はデータの漏洩/損失を伴うインシデントに遭遇したと述べている。
  • 回答者の 90% は、組織的な API 認証ポリシーを導入していると述べているが、31%が確信を持てないと述べているのは、それらのポリシーが適切なレベルの認証を保証できているのかという点である。
  • 回答者の 35% は、API セキュリティに対する懸念が原因となり、プロジェクトの進捗に遅れが生じたと述べている。そのうちの 87% は、開発者のパイプライン・アクティビティと API Security Testing (AST) の効果的な統合が実現できれば、このような遅延は防げたと考えている。
  • 回答者の 51% だけが、自社の API インベントリに全幅の信頼を置いている。26% は、インベントリの更新プロセスが手動であると報告している。

451 Research の定量調査製品 Principal Research Analyst for Information Security for the Voice of the Enterprise (VotE) である Daniel Kennedy は、「API の利用が増え続ける中、この極端なレベルの依存性により、数多くの脆弱性が表面化している。したがって、API の保護は、部門のカベを超えて実現すべき重要な課題になっている」と語っている。

2022年3月11日の「API セキュリティ調査 2021:攻撃トラフィック量は 600% 増という驚異的な伸び」は、Salt Security のレポートをベースにした記事です。そちらはは、基本的にトラフィックから見たデータを分析するもので、2021年の API 攻撃トラフィックが 681% 増加し、API トラフィック全体は 321% 増加したと、記されています。API を介した攻撃は、今年も増えていきそうなので、こうしたレポートは見落とさないようにしたいと思います。なお、今日の記事の元データである 451 Research のレポーチは、以下でダウンロードでできます。
451 Research:The 2022 API Security Trends Report

%d bloggers like this: