アカマイ・テクノロジーズは、中国とインド、日本、オーストラリアのITやセキュリティの専門家800人以上を対象に実施したAPIのセキュリティに関する調査結果を発表した。それによると、APIの脆弱(ぜいじゃく)性について認識が高まっているものの、経営陣やセキュリティチームからのコミットメントが十分とは言えず、結果としてAPI攻撃による被害が多額に上っている実態が明らかになった。
調査結果では、同地域の組織の85%が過去12カ月間に少なくとも1回API関連のセキュリティインシデントが発生したと回答。財務への影響も懸念され、APIセキュリティインシデントの推定平均コストは58万ドル(約8200万円)以上に達した。多くの企業でいまだ自社のAPIエコシステムや漏えいのリスクがあるセンシティブなデータに関する可視性が不足しているという。
また、最大の優先事項に「脅威アクターからAPIを保護する」ことを挙げたのは中国だった。ただし、経営幹部はAPIインシデントのコストを375万元(51万7000ドル)と見積もっているのに対し、現場のセキュリティ担当者は約670万元(92万5000米ドル)と推定していた。
インドでは、経営幹部の77%が「APIインベントリーは十分だ」とした一方で、それに同意するアプリケーションセキュリティの専門家は41%にとどまり、同様に「どのAPIがセンシティブデータを返すのかを知っている」と回答したアプリケーションセキュリティのチーム担当者も11%にとどまっていたという。
日本では、エネルギーと小売業界の96%が「最近APIインシデントが発生した」と回答。それにもかかわらず、APIセキュリティの優先度はサイバーセキュリティの中で4位にとどまった。日本のアプリケーションセキュリティのチームは、インシデントが生じた場合の最大の被害が「取締役および役員会の評判の毀損(きそん)」と考えていることが分かった。
オーストラリアは、インシデント発生率が95%で最高だったとし、財務への重大な影響(平均49万3000オーストラリアドル)が生じた。しかし、総合的なAPIの脆弱性テストを定期的に実施している組織は6%で、この地域では最低だった。中国では22%、インドでは15%、日本では11%だった。
さらに、コンプライアンスの観点で、APIをリスク評価に組み込んでいるのは41%、報告要件に組み込んでいるのは40%だった。日本は他国より認識が遅れており、回答者の22%が、「APIセキュリティを自社のコンプライアンスの取り組みに取り入れていない」と答えていたという。
アカマイは、各国の法規制でAPIのリスクを取り込むことの必要性が急速に高まっているとし、調査結果では、「持続的なレジリエンスの構築を優先すべきである。これには、APIの完全なインベントリー作成、APIのコードが適切であることを確認するための定期的なテスト、『正常』と『異常』なAPIアクティビティーを見分けるためのランタイム検知の実施などが含まれる」と提言している。
