セキュリティ企業のImperva Japanは、APIのセキュリティに関する日本企業の意識を調査した結果を発表した。多くの回答者がAPIを重要だとしつつもセキュリティについて懸念していることが分かったという。
調査は、同社がForrester Consultingに委託して2月にオンラインで行い、世界で456人のセキュリティやITの担当者が回答。日本は148人が応じた。
それによると、76%は自社の競争力維持のために内部もしくは第三者APIの利用が重要だと答えた。60%は今後1年以内にAPIが増える予定と回答した。また、62%がAPIのセキュリティの改善を優先事項に挙げた。同社は、「ゼロトラストセキュリティ戦略の展開」(57%)、「セキュリティと事業戦略の整合性」(46%)、「ウェブアプリケーションセキュリティと可用性」(45%)に匹敵する重要性が認識されていると指摘する。
74%はセキュリティが確保されていないのでAPI活用が進まないと答えた。その理由では、「攻撃対象範囲の拡大への不安」(58%)、「機密データの悪用への不安」(56%)が挙げられた。26%は現在稼働中のオープンAPIの数を把握していないことも分かったという。
同社のセキュリティ対策サービスでは、現状でAPIからのウェブトラフィックが2021年の同時期よりも30%増加しているとのこと。APIの利用が増えているのは明らかで、代表執行役社長の柿澤光郎氏は、企業システムがモノリシック(一枚岩)な状態からAPI、サーバーレス、マイクロサービスに進化していく中で、APIがアクセスする機密データを含むセキュリティ対策が重要になると指摘した。
調査を実施したForrester Consultingは、Impervaの発表を通じて下記のAPIセキュリティにおける推奨事項を提案している。
- モバイルアプリやウェブアプリ内、AJAXリクエストやWebhooksなどAPIが利用される全ての場所に正確なインベントリーを作成する。保護すべき場所の定義だけでなく誤って本番環境に展開されたAPIの特定にも活用できる
- APIは従来のウェブアプリと同じコードの脆弱性にさらされる。アクセスしやすいエンドポイント、複数のパートナー作成者、複雑な認証や承諾も必要になる。APIコードはリリース前にIDデータフローや信頼レベル関連の問題に特化したテストを実施する
- APIセキュリティソリューションはできる限り連携されているツールを選択し、保護を複雑化しないようにする
- 開発チームとセキュリティチームが連携し、APIの利用状況を共有し、開発ライフサイクルにセキュリティを組み込む