企業の 95％が API のセキュリティ問題に直面している – Fastly 調査

95% of companies face API security problems

2024/03/22 HelpNetSecurity — API が重要な役割を担っているにもかかわらず、ビジネスにおける意思決定者の大多数は、急増している企業のセキュリティ・リスクに対して無関心であることが、Fastly の調査で明らかになった。API (Application Programming Interfaces) は、長い間にわたってデジタル経済の基盤として認識されてきた。最近の統計によると、全インターネット・トラフィックの大半が API を経由していることが分かる。

API 侵害に対する対策の欠如

API のユビキタス性が意味するものには、アカウント乗っ取り攻撃を仕掛けるサイバー犯罪者にとっての API が、お気に入りの侵入ゲートウェイの１つになっているという現実もある。

Fastly の最新の調査では、回答者の 84％ が、高度な API セキュリティを導入していないことを認めている。さらに、過去１年間に API セキュリティの問題を経験した回答者は 95％にも上り、意思決定者の大多数が問題を認識している一方で、API 侵害に対する対策が不足していることが分かる。

API セキュリティの懸念から、新しいアプリケーションのロールアウトや統合を遅らせたことがあるという回答者と、API セキュリティを High もしくは Critical レベルで重視しているという回答者は、どちらも 79％だった。なぜ、これらの問題が解決できなかったのかを尋ねたところ、その要因として最も多かったのは、”予算” と “専門知識” の不足であった。

Fastly の Senior Security Architect である Jay Coley は、「我々の調査結果では、API への依存度が高まることで、深刻なサイバー攻撃のリスクが生じると、意思決定者たちが認識していることが示されている。しかし、これまでのところ、それに対する十分な対策を、彼らは行っていない。Web アプリと API セキュリティ・ソリューションを、単一のプロバイダーから導入する価格を、侵害による追加の運用コストと風評コストが、はるかに上回ることを考えると驚くべきことだ」と述べている。

企業は API 攻撃の検出に苦戦している

API セキュリティ・プラットフォームについて、個々の企業にとって最も重要な属性を尋ねたところ、最も多かった回答は、個人データや機密データを公開している API を特定することであった (43％) 。それに続くのが、文書化されていないものを含む全ての API の特定 (40％)と、ロギングとモニタリング (28％) だった。

しかし、レガシーなセキュリティ・ソリューションを使用している企業は、膨大な量の通知を日々受け取っているため、API 攻撃の特定に苦戦している。

Fastly のデータによると、クレデンシャル・スタッフィング／ビジネス・ロジックの乱用／DDoS 攻撃などが、アカウントの乗っ取り／個人情報の盗難／詐欺などを目的として展開されているが、それらは、悪意の自動ボット攻撃のほんの一部に過ぎない。API 攻撃のオペレーションは、簡単に利用できるスクリプトやツールにより、かつてないほど容易になっている。従来のボット防御技術では、こうした潜在的かつ破壊的な侵入を検知するのが困難になりつつある。

API 環境の複雑さを解決する方法の１つは、AI を搭載した新世代のサイバー・セキュリティ・システムかもしれない。しかし Fastly の調査によると、現在のところ、この方式に対する熱意はほとんど無いようだ。調査対象となった企業のうち、API セキュリティにおける AI 技術の利用を、優先事項と考えていると回答したのは、わずか 14％だった。とはいえ 58% の回答者は、２〜３年の間に 生成 AI が API セキュリティに対して、大きな影響を与えると見ているという。

さらに 62％の企業が、新たに特定された API の脆弱性の増加に対して、AI が大きな影響力を持つだろうと予想している。

役職により異なる API セキュリティの優先順位

この調査で気がかりなのは、機密データを扱う規制の厳しいセクターにおいて、API の不備に対する関心が低いという点だ。金融サービスの回答者のうち、API セキュリティを非常に重要視している、または非常に重要視しているのは、わずか 80％である。また、卸売／小売／ｅコマースのセクターでは 89％であった。

地域差という点では、API セキュリティの重要性は、国境を越えた平均が 79％であるのに対し、英国においては 86％と高く評価されている。英国企業は、ゾンビ API とデータ・スクレイピングを優先事項として挙げている。しかし、現実の英国では、対策から行動へと移行していない傾向が強く見られた。

Fastly の Jey Coley は、「英国の回答者の 79% が、自社の API セキュリティは進展していないと回答している。つまり、その手口を巧妙にし始めているサイバー犯罪者にとって、格好の標的となることを意味する」と述べている。

興味深い洞察の１つは、企業の階層内における考え方の相違だ。C-suite とコンプライアンスの専門家の 91％ が、API セキュリティを高レベルで重視しているが、社内のセキュリティ専門家で同意見なのは、わずか 74％だった。セキュリティの専門家たちが、脅威の規模を過小評価しているという見方が成り立つだろう。その一方で、彼らは日常的に、もっと多くの脅威にさらされているという見方も成り立つ。

API の脅威に関する、とても興味深い Fastly レポートがベースになっている記事です。１ヶ月ほど前である、2024/02/21 にも「API セキュリティ戦略を見直す：魅力的な侵入経路を脅威アクターに提供しないために」という記事ありました。こちらも、Cloudflare のレポートがベースになっている記事ですので、２つのレポートを比較してみると、いまの時代における API の問題点が浮き彫りになるはずです。よろしければ、カテゴリ API も、ご利用ください。