Akamai Technologies(以下、Akamai)は、APIセキュリティに関する調査結果を新たに発表した。同調査では、事業者のアプリケーションセキュリティに関与する立場の人達が、何をAPI関連の最も重要なセキュリティリスクとみなしているのかについて調査したという。
「2023 SANS Survey on API Security」(2023年SANS APIセキュリティ調査)では、APIセキュリティ・テスト・ツールを導入している回答者の割合は50%未満であり、APIディスカバリーツールを導入している回答者の割合はさらに少ない(29%)ことが判明した。また、レポートによると、DDoS対策サービスや負荷分散サービスに含まれるAPIセキュリティコントロールは「十分に活用されていない」とされており、この機能を利用している回答者の割合はわずか29%だったとしている。
Akamaiは、SANS Instituteと協力して2023年第1四半期に同調査を実施し、APIセキュリティリスクへの対処に関するエンタープライズの意識、準備状況、将来的な計画について調査。主に事業者のアプリケーションセキュリティに関与する、または関与予定のある立場の世界中の231人の回答者が調査に参加したという。
モダンなアプリケーションは、ますますAPIを利用するようになり、ビジネスプロセスに対応して、効率的にビジネスパートナーや顧客が企業と協力できるようにするために必要なコミュニケーションにビジネスプロセスを組み込んでいるとのこと。「セキュリティギャップのすり抜け」と題した最新の「インターネットの現状(SOTI)」レポートでは、2022年はアプリケーション攻撃とAPI攻撃の記録が塗り替えられた年だとしている。
今回の調査でわかったことは以下のとおり。
- 62%の回答者が、APIリスク緩和の一環としてWebアプリケーションファイアウォールを利用
- 57.1%の回答者が、APIインベントリの精度が25-75%であると回答
- ほとんどの回答者が、OWASP Application Security Top10リストとOWASP API Top10リストについて言及。アプリケーションとAPIのリスクを定義するための基礎として、MITRE ATT&CK Frameworkを取り上げている。OWASP API Top10の上位は、APIの実装に特有の脆弱性を悪用した攻撃が占めている
- それにも関わらず、APIセキュリティに関する懸念事項の第1位はフィッシング(38.3%)、第2位はパッチの見落とし(24%)であり、脆弱なアプリケーション/APIの悪用(12%)、過失による機微な情報の開示(9.1%)がそれに続く。同レポートの結論では「利用中のAPIの発見と(APIごとに異なる)脆弱性の評価を最上位にする必要がある」と述べている
- 76%の調査参加者が、開発者に対してアプリケーションセキュリティに関するトレーニングを実施していると回答
【関連記事】
・Akamai、ふるまい分析により脅威を検知する「API Security」を提供開始
・アカマイ、「Akamai Connected Cloud」など新サービスでクラウド市場に本格参入へ
・Akamai、「App&API Protector」リリースでAPI保護を強化
