このページの本文へ

APIの脆弱性により年間最大750億米ドル損失、米Imperva調査

2022年08月02日 17時30分更新

文● ASCII

  • この記事をはてなブックマークに追加
  • 本文印刷

APIの脆弱性に関する調査レポート「Quantifying the Cost of API Insecurity」

 米Impervaは8月2日、APIの脆弱性に関する調査結果をまとめたレポート「Quantifying the Cost of API Insecurity」を発表した。調査によると、APIセキュリティーが不十分であることが原因で発生したセキュリティーインシデントによる世界中の企業の年間損失額が、410億米ドル~750億米ドルに上ることが明らかになったという。

 今回の調査はMarsh McLennan Cyber Risk Analytics Centerが実施したもので、およそ11万7000件の固有のセキュリティーインシデントを分析している。調査によると、API関連のインシデントが占める割合は、中小企業と比べて大企業が統計的に高くなっており、売上高が1000億米ドル以上の大企業は、中小企業に比べてAPIセキュリティーが不十分である可能性が3~4倍高くなっているという。

 企業で使用されているAPIの量は急速に拡大しており、調査対象企業のうちおよそ半数は、50~500件の社内およびオープンAPIを導入しており、中には1000件以上のアクティブなAPIを使用している企業も存在する。多くのAPIは、機密データが保存されるバックエンドデータベースと直接接続する。その結果、サイバー犯罪者が機密情報を漏洩させる際、基盤となっているインフラストラクチャーへの経路として、APIを標的とするケースが増加しているという。現在では、サイバーインシデントの13件中1件が、APIのセキュリティー不備に起因すると同社は考えている。本番環境で使用されるAPIが倍増する中、この数字は今後さらに増加するという。

 また、本調査では業界ごとに大きな格差があることも確認され、IT、プロフェッショナルサービス、小売業界は、API関連のセキュリティーインシデントに遭遇する可能性が最も高くなっているという。

 アジアでは、セキュリティーインシデントの16~20%が不十分なAPIセキュリティーに関連しており、ほかの地域より高い結果となった。アジアでは特にモバイルにおいて急速なデジタルトランスフォーメーションが進んでおり、デジタル取引の大半がモバイル経由で行なわれているため、使用されているAPIの量と、APIを経由するデータの量が増加し、API関連のインシデントが発生する可能性が高くなっているという。

 同社によると、このような脅威の拡大に対応するために、自社環境内のすべてのAPIを特定し、各APIを経由するデータフローを把握することが企業に求められるという。本レポートでは、APIセキュリティーにおける推奨事項として、企業がすべてのAPIの構造を理解しつつ、API経由で流入するデータを特定・分類することを挙げている。これらを可視化することによりリスクの評価が可能になる。また、APIは短期間で作成され、頻繁に修正されるため、多くの企業にとって死角となっている。自動化機能によって不正なAPIやシャドーAPIを排除できる。さらに、APIインベントリーの自動更新により、セキュリティーチームは、開発者が本番環境のAPIを修正する時期を把握できる。

 さらに、規制が厳しい業界では特に、APIのガバナンスモデルは非常に重要だという。これは、APIのエンドポイントだけでなく、基本のペイロードにも可視性を広げることで実現でき、機密データを適切に保護できる。

カテゴリートップへ

  • 角川アスキー総合研究所
  • アスキーカード