Akamai Technologies(アカマイ)は8月24日、事業者のアプリケーションセキュリティに関与する立場の人を対象に実施した、アプリケーション・プログラミング・インターフェース(API)セキュリティに関する調査結果を発表した。その結果、ほとんどの企業でAPIのリスクを課題視しながら、API に特化した攻撃で優先すべき対策との認識にギャップが生じていたことが明らかになった。

  • Akamai Technologies ロゴ

    Akamai Technologies ロゴ

2023年SANS APIセキュリティ調査では、APIセキュリティ・テスト・ツールを導入している回答者の割合は50%未満で、APIディスカバリーツールを導入している回答者は29%とさらに少なかった。DDoS対策サービスや負荷分散サービスに含まれるAPIセキュリティコントロールは「十分に活用されていない」とされ、同機能を利用している回答者の割合はわずか29%であった。

AkamaiはSANS Instituteと協力して2023年第1四半期にこの調査を実施し、APIセキュリティリスクへの対処に関するエンタープライズの意識、準備状況、将来的な計画について調査した。主に事業者のアプリケーションセキュリティに関与する、または関与予定のある立場の世界中の231人の回答者が調査に参加した。

今回の調査では、回答者の62%がAPIリスク緩和の一環としてWebアプリケーションファイアウォールを利用。57.1%がAPIインベントリの精度が25-75%であると回答した。ほとんどの回答者は、OWASP Application Security Top10リストとOWASP API Top10リストについて言及し、アプリケーションとAPIのリスクを定義するための基礎としてMITRE ATT&CK Frameworkを取り上げている。

OWASP API Top10の上位は、APIの実装に特有の脆弱性を悪用した攻撃が占めているが、それにも関わらず、APIセキュリティに関する懸念事項の第1位はフィッシング(38.3%)、第2位はパッチの見落とし(24%)であり、脆弱なアプリケーション/APIの悪用(12%)、過失による機微な情報の開示(9.1%)はそれに続いた。

結論として「利用中のAPIの発見と(APIごとに異なる)脆弱性の評価を最上位にする必要がある」と述べ、調査参加者の76%は、開発者に対してアプリケーションセキュリティに関するトレーニングを実施していると回答した。

Akamai Application Security部門のSenior Vice President兼General Managerである Rupesh Chokshi氏は「この新たな調査は、2023年以降も重要なセキュリティ上の問題であり続けるトピックに対する、産業界の見方を示しています。調査の結果、脆弱なAPIが攻撃に最もよく利用されるアクセスのポイントとなっていることを踏まえ、企業は多くのAPIがどこでどのように稼働しているかにもっと注目する必要があることが分かりました」と、述べている。

SANSのDirector of Emerging Security TrendsであるJohn Pescatore氏は、次のようにコメントしている。「この調査の重要なポイントは、強力な(API)認証、APIアセットのインベントリおよび脆弱性の管理、APIの変更管理などのセキュリティ健全性コントロールによって、API特有のセキュリティに関する課題に対処する必要があるということです。API中心の攻撃に対処するための防止と検知を強化する必要があり、その上でインフラサービス(CDNやサービス妨害フィルタリングなど)を活用する必要があります」