2024年の API セキュリティ課題と解決策 – Nightfall AI

API security blind spots put businesses at risk

2024/12/24 HelpNetSecurity — 2024年の API セキュリティの傾向と課題に関する調査で判明したのは、顧客向け API の多くは、依然として保護対策が不十分であり、企業は侵害に対して脆弱な状態にあるという現実だ。こうした脅威に対処するために不可欠なのは、API セキュリティに対する包括的なアプローチであり、また、ライフ・サイクルの全段階をカバーすることだ。本記事では、Nightfall AI による “2024 State of Secrets Report” から得られた、主な洞察を紹介する。

顧客向けの API の 30% は完全に無防備な状態

昨今の一般的な企業においては、平均して 421 種類もの API が管理され、その大半はパブリック・クラウド環境でホストされている。しかし、そのような状況であっても、特に顧客向けの API の多くは、依然として保護対策が施されていない。その一方で、80% の企業が API セキュリティを、API 設計段階で開始している。さらに、59% が API ライフサイクルの各段階で、セキュリティを組み込んでいると回答している。

– 30% of customer-facing APIs are completely unprotected

公開された API キーの 35%：アクティブであり、深刻なセキュリティ・リスク

Nightfall AI の調査では、パスワードや API キーなどの機密情報が、最も多く発見された場所は GitHub である。また、毎年の平均として、100人の従業員から約 350件の機密情報が、公開されていることが判明した。

– 35% of exposed API keys still active, posing major security risks

42%：AI データの保護に API セキュリティを使用する予定

AI 実装の安全性を保つために、いまの脅威から、どのように防御するのか？あるいは、すでに何を実行しているのか？という質問に対して最も多かった回答は、API セキュリティ／モニタリング／DDoS 抑止／ボット防止などの、アプリケーション・サービスの導入であった。回答者の 42%は、AI のトレーニング・モデルを横断するデータを保護するための、API セキュリティ・ソリューションの使用／計画を挙げていた。

– 42% plan to use API security for AI data protection

企業の API が増加するにつれて、セキュリティ上の課題も増加する

企業における、API の導入が急増している。それに伴い、増え続けるネットワークの管理／保護のための、新しい手法を取り入れられるようになった。現時点で 95%の企業が API ゲートウェイを導入し、認証の処理／リクエストの検証／トラフィックのレート制限などを行っている。43%の企業は、アプリと API の両方に関して、セキュリティ・インフラを自動化している。

–Security challenges mount as companies handle thousands of APIs

95 %の企業が API セキュリティの問題に直面している

意思決定者の大半が問題を認識している一方で、API 侵害に対する対策が講じられていないという現状がある。Fastly の調査対象となった回答者の 95%が、過去 12か月間にAPIセキュリティの問題を経験したと答えている。そして、79%が、API セキュリティの懸念から、新しいアプリケーションの展開や統合を延期したと述べている。

–95% of companies face API security problems

悪用のホット・スポットとなる API 環境

2023年1月〜12月にかけて発生したWeb 攻撃のうち、29%が API を標的とするものだった。それが示すのは、サイバー犯罪者たちにとって、API が重要なターゲットであることだ。最も攻撃されている業種は E コマースであり、API 攻撃の割合が 44%を占めていた。それに続くビジネス・サービスは、約 32%である。

–API environments becoming hotspots for exploitation

ますます魅力的な標的になる API

企業は、見えないものを保護することに苦戦している。約 31%の API REST エンドポイントが、機械学習により発見された。それは、顧客から提供された情報ベースよりも、高い比率となる。つまり、多くの企業が、自社の API を完全に把握できていないことになる。

–APIs are increasingly becoming attractive targets

このブログでも、HelpNetSecurity の統計記事を、よく参照させてもらいます。その中で、API に関連する記事が、今年は７本もあったようです。この中の何本かは、日本語化されていると思いますので、API + Statistics で検索も、ご参照ください。2024年も、そろそろ終わりですね。

M	T	W	T	F	S	S
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31