オンラインビジネスの力となり、守るサイバーセキュリティおよびクラウドコンピューティング企業、Akamai Technologies, Inc.(NASDAQ:AKAM)は、アジア太平洋(APAC)地域における2025年APIセキュリティ影響調査を発表しました。これは、APACの主要国におけるアプリケーション・プログラミング・インターフェイス(API)のセキュリティインシデントに起因する隠れた脆弱性、財務への影響、運用上の課題を詳細に調査したものです。本調査によると、APIの脆弱性についての認識は高まっているものの、APAC地域全体で経営陣やセキュリティチームからのAPIのセキュリティに対するコミットメントは十分とは言えず、その結果、API攻撃による被害は多額に上っている実態が明らかになりました。自社のサイバーセキュリティにおけるAPIセキュリティの優先順位について早急にコンセンサスを固める必要性を浮き彫りにしています。
※本リリースは2025年5月7日 (現地時間) シンガポールで発表されたプレスリリースの抄訳版です。
[画像: https://prcdn.freetls.fastly.net/release_image/31697/251/31697-251-752b425bec920b66a5a185843bc6e085-683x278.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
中国、インド、日本、オーストラリアのITおよびセキュリティの専門家800人超を対象にした本調査では、セキュリティ対策が不十分なAPIが原因となって企業が直面するリスクが増大していることが鮮明になりました。APIは現在のデジタルインフラの基盤となるものですが、同地域の組織の85%は、過去12か月間に少なくとも1回、API関連のセキュリティインシデントが発生したと回答しました。財務への影響も懸念され、調査対象となった市場におけるAPIセキュリティインシデントの推定平均コストは58万米ドル(日本円でおよそ8,200万円)以上に達しています。また、多くの企業では未だに自社のAPIエコシステムや、漏洩のリスクがあるセンシティブデータに関するビジビリティが不足しています。
Akamai Technologies APAC担当セキュリティテクノロジーおよび戦略担当ディレクターであるReuben Kohは「APIは、ミッションクリティカルになり、モバイルバンキングからコネクテッドカーまで、あらゆることの原動力となっています。しかし、当社の調査では、アジア太平洋地域の組織はそのセキュリティの確保に苦戦している実態を示しています。組織にとって、開発からランタイムまで、クリティカルなAPIの保護を目的とする包括的なセキュリティ戦略を実施するために、APIセキュリティインシデントの根本原因、影響、優先度レベルについて社内でコンセンサスに至ることは極めて重要です」と述べています。
APAC地域に関する調査結果要点:
- APIセキュリティの優先事項においては中国がリードしているが、依然ギャップが残る:中国の回答者は、「脅威アクターからAPIを保護する」ことがセキュリティの最大の優先事項であると回答した唯一のグループでした。ただし、コストの認識についてはばらつきが見られ、経営幹部はAPIインシデントのコストを375万元(51万7,000米ドル)と見積もっているのに対し、現場のセキュリティ担当者は670万元近く(92万5,000米ドル)と推定しています。
- 内部の分断が鮮明なインド:インドの経営幹部の77%は、APIインベントリは十分だと主張していますが、それに同意するアプリケーション・セキュリティの専門家は41%に過ぎません。この分断は、センシティブデータに対する意識にも及んでおり、アプリケーション・セキュリティチームの中で、どのAPIがセンシティブデータを返すのかを知っていると回答したメンバーは11%にとどまりました。
- 日本は、業界のリスクにもかかわらず、APIリスク軽視の傾向:日本のエネルギーおよび小売セクター企業の96%は最近APIインシデントが発生したと回答したにもかかわらず、APIセキュリティのサイバーセキュリティ優先度は4位にとどまりました。日本のアプリケーション・セキュリティチームは、「取締役および役員会の評判の毀損」をインシデントが生じた場合の最大の被害と考えています。
- インシデントから最大の打撃を受けているオーストラリアの対応は最も遅い:オーストラリアでは、インシデント発生率が95%と最高で、財務への重大な影響(平均49万3,000豪ドル)が発生しましたが、総合的なAPI脆弱性テストを定期的に実施している組織は最も低く、6%でした。
リスクと対応のギャップ:
本調査によって、4か国全体で認識と現実に大きなギャップがあることを明らかになりました。
- 経営幹部の認識は高いが、運営上のビジビリティは低い:APAC地域の役員の92%は、過去12か月間にAPIインシデントを経験しましたが、どのAPIにセンシティブデータのリスクがあるのかを特定できた回答者は全体の37%に過ぎませんでした。
- テストは依然として一貫性に欠ける:インシデント発生率が高いにもかかわらず、リアルタイムでAPIテストを実施しているとした回答者は、中国で22%、インドで15%、日本で11%、オーストラリアで6%でした。
Kohは「こうしたギャップは、課題がより大きいことを反映しています。組織は、セキュリティを保護できる以上のスピードでAPIを実装しており、これが攻撃者に付け入る隙を与えています。」「もはや問題は理論上のものではありません。APIの悪用は現在実際に起こっており、財務や評判に被害が出ているのです」「経営陣は、セキュリティとアプリケーション・セキュリティの専門家と密接に連携して、このクリティカルなテクノロジーを保護するために適切なツール、プロセス、アラインメントに投資し、こうしたギャップを解消する必要があります」と述べています。
コンプライアンスの警鐘:
本調査によれば、大半の回答者はAPIセキュリティを自社のコンプライアンスプログラムで考慮しているものの、それを総体的に行っている組織はほとんどありません。実際、APIをリスク評価に組み込んでいるのはわずか41%、報告要件に組み込んでいるのは40%です。日本はまた、API関連のコンプライアンス要件の認識において、同地域の他国に遅れを取っています。回答者の22%は、APIセキュリティを自社のコンプライアンスの取り組みに取り入れていないと述べています。
中国のデータセキュリティ法からオーストラリアの消費者データ権規制まで、コンプライアンスおよびセキュリティの枠組みにAPIリスクを取り込むことの必要性は急速に高まっています。デジタル事業の中核をつなぐ重要な役割を果たすようになったAPIのセキュリティ確保には、熟慮したエンド・ツー・エンドのアプローチが必要です。本調査では、APAC地域の組織は、持続的なレジリエンスの構築を優先すべきであると提言しています。これには、APIの完全なインベントリ作成、APIのコードが適切であることを確認するための定期的なテスト、「正常」と「異常な」APIアクティビティを見分けるためのランタイム検知の実施などが含まれます。
詳細な調査結果と戦略は、調査の全文をダウンロードしてください。
AkamaiではAPIセキュリティについて、デモを交えて製品紹介を行うセミナーやワークショップを開催しています。詳しくはこちらのページをご覧ください。
Akamai について:
Akamai は、オンラインビジネスの力となり、守るサイバーセキュリティおよびクラウドコンピューティング企業です。当社の市場をリードするセキュリティソリューション、優れた脅威インテリジェンス、グローバル運用チームによって、あらゆる場所でエンタープライズデータとアプリケーションを保護する多層防御を利用いただけます。Akamai のフルスタック・クラウド・コンピューティング・ソリューションは、世界で最も分散化されたプラットフォームで高いパフォーマンスとコストを実現しています。多くのグローバル企業が、ビジネスの成長に必要な業界最高レベルの信頼性、拡張性、専門知識を提供できる Akamai に信頼を寄せています。詳細については、akamai.com および akamai.com/blog をご覧いただくか、X や LinkedIn で Akamai Technologies をフォローしてください。
※AkamaiとAkamaiロゴは、Akamai Technologies Inc.の商標または登録商標です
※その他、記載されている会社名ならびに組織名、ロゴ、サービス名は、各社の商標または登録商標です
※本プレスリリースの内容は、個別の事例に基づくものであり、個々の状況により変動しうるものです
