SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

予期せぬ事態に備えよ! クラウドで実現するIT-BCP対策 powered by EnterpriseZine

2024年7月10日(水)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZineニュース

APIリスクを認識するも攻撃への対策に課題か──Akamai調査

 Akamai Technologies(以下、Akamai)は、APIセキュリティに関する調査結果を新たに発表した。同調査では、事業者のアプリケーションセキュリティに関与する立場の人達が、何をAPI関連の最も重要なセキュリティリスクとみなしているのかについて調査したという。

 「2023 SANS Survey on API Security」(2023年SANS APIセキュリティ調査)では、APIセキュリティ・テスト・ツールを導入している回答者の割合は50%未満であり、APIディスカバリーツールを導入している回答者の割合はさらに少ない(29%)ことが判明した。また、レポートによると、DDoS対策サービスや負荷分散サービスに含まれるAPIセキュリティコントロールは「十分に活用されていない」とされており、この機能を利用している回答者の割合はわずか29%だったとしている。

 Akamaiは、SANS Instituteと協力して2023年第1四半期に同調査を実施し、APIセキュリティリスクへの対処に関するエンタープライズの意識、準備状況、将来的な計画について調査。主に事業者のアプリケーションセキュリティに関与する、または関与予定のある立場の世界中の231人の回答者が調査に参加したという。

 モダンなアプリケーションは、ますますAPIを利用するようになり、ビジネスプロセスに対応して、効率的にビジネスパートナーや顧客が企業と協力できるようにするために必要なコミュニケーションにビジネスプロセスを組み込んでいるとのこと。「セキュリティギャップのすり抜け」と題した最新の「インターネットの現状(SOTI)」レポートでは、2022年はアプリケーション攻撃とAPI攻撃の記録が塗り替えられた年だとしている。

 今回の調査でわかったことは以下のとおり。

  • 62%の回答者が、APIリスク緩和の一環としてWebアプリケーションファイアウォールを利用
  • 57.1%の回答者が、APIインベントリの精度が25-75%であると回答
  • ほとんどの回答者が、OWASP Application Security Top10リストとOWASP API Top10リストについて言及。アプリケーションとAPIのリスクを定義するための基礎として、MITRE ATT&CK Frameworkを取り上げている。OWASP API Top10の上位は、APIの実装に特有の脆弱性を悪用した攻撃が占めている
  • それにも関わらず、APIセキュリティに関する懸念事項の第1位はフィッシング(38.3%)、第2位はパッチの見落とし(24%)であり、脆弱なアプリケーション/APIの悪用(12%)、過失による機微な情報の開示(9.1%)がそれに続く。同レポートの結論では「利用中のAPIの発見と(APIごとに異なる)脆弱性の評価を最上位にする必要がある」と述べている
  • 76%の調査参加者が、開発者に対してアプリケーションセキュリティに関するトレーニングを実施していると回答

【関連記事】
Akamai、ふるまい分析により脅威を検知する「API Security」を提供開始
アカマイ、「Akamai Connected Cloud」など新サービスでクラウド市場に本格参入へ
Akamai、「App&API Protector」リリースでAPI保護を強化

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
この記事の著者

EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/news/detail/18276 2023/08/24 17:25

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング