APIの脆弱性に関する調査レポート「Quantifying the Cost of API Insecurity」
米Impervaは8月2日、APIの脆弱性に関する調査結果をまとめたレポート「Quantifying the Cost of API Insecurity」を発表した。調査によると、APIセキュリティーが不十分であることが原因で発生したセキュリティーインシデントによる世界中の企業の年間損失額が、410億米ドル~750億米ドルに上ることが明らかになったという。
今回の調査はMarsh McLennan Cyber Risk Analytics Centerが実施したもので、およそ11万7000件の固有のセキュリティーインシデントを分析している。調査によると、API関連のインシデントが占める割合は、中小企業と比べて大企業が統計的に高くなっており、売上高が1000億米ドル以上の大企業は、中小企業に比べてAPIセキュリティーが不十分である可能性が3~4倍高くなっているという。
企業で使用されているAPIの量は急速に拡大しており、調査対象企業のうちおよそ半数は、50~500件の社内およびオープンAPIを導入しており、中には1000件以上のアクティブなAPIを使用している企業も存在する。多くのAPIは、機密データが保存されるバックエンドデータベースと直接接続する。その結果、サイバー犯罪者が機密情報を漏洩させる際、基盤となっているインフラストラクチャーへの経路として、APIを標的とするケースが増加しているという。現在では、サイバーインシデントの13件中1件が、APIのセキュリティー不備に起因すると同社は考えている。本番環境で使用されるAPIが倍増する中、この数字は今後さらに増加するという。
また、本調査では業界ごとに大きな格差があることも確認され、IT、プロフェッショナルサービス、小売業界は、API関連のセキュリティーインシデントに遭遇する可能性が最も高くなっているという。
アジアでは、セキュリティーインシデントの16~20%が不十分なAPIセキュリティーに関連しており、ほかの地域より高い結果となった。アジアでは特にモバイルにおいて急速なデジタルトランスフォーメーションが進んでおり、デジタル取引の大半がモバイル経由で行なわれているため、使用されているAPIの量と、APIを経由するデータの量が増加し、API関連のインシデントが発生する可能性が高くなっているという。
同社によると、このような脅威の拡大に対応するために、自社環境内のすべてのAPIを特定し、各APIを経由するデータフローを把握することが企業に求められるという。本レポートでは、APIセキュリティーにおける推奨事項として、企業がすべてのAPIの構造を理解しつつ、API経由で流入するデータを特定・分類することを挙げている。これらを可視化することによりリスクの評価が可能になる。また、APIは短期間で作成され、頻繁に修正されるため、多くの企業にとって死角となっている。自動化機能によって不正なAPIやシャドーAPIを排除できる。さらに、APIインベントリーの自動更新により、セキュリティーチームは、開発者が本番環境のAPIを修正する時期を把握できる。
さらに、規制が厳しい業界では特に、APIのガバナンスモデルは非常に重要だという。これは、APIのエンドポイントだけでなく、基本のペイロードにも可視性を広げることで実現でき、機密データを適切に保護できる。
本記事はアフィリエイトプログラムによる収益を得ている場合があります
