AIによりアプリケーションの脅威度は検知と対応が追いつかない速度で変化（2026年Webアプリケーションセキュリティレポートより）

2026年04月10日 09時00分更新

文●フォーティネットジャパン　編集●ASCII

提供: フォーティネットジャパン

本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「AIがチームの適応速度を上回るペースでアプリケーションの脅威を変化させている」を再編集したものです。

800人以上のセキュリティ専門家を対象としたグローバル調査に基づく2026年Webアプリケーションセキュリティレポートは、多くのチームがWebアプリケーションセキュリティとAPIセキュリティ環境全体ですでに目にしている状況を定量化しています。回答者のわずか29%が全体的なアプリケーションセキュリティポスチャに自信を持っていると報告しており、AI統合アプリケーションでは15%に、AI生成攻撃に対する防御では12%に低下しています。

これは、最新のWebアプリケーションとAPIがどのように機能しているかと、それらがどのように保護されているかとの間にギャップがあることを浮き彫りにしています。AIはアプリケーションロジック、ワークフロー、APIに統合されていますが、これらのシステムを管理する制御は依然として時代遅れの前提に基づいています。

アプリケーションの動作は静的な制御が追跡できる範囲を超えて変化している

AI統合アプリケーションは動的にAPI呼び出しを生成し、実行時に動作を適応させ、コンテキストに応じて変化する内部および外部サービスのチェーンに依存しています。固定されたインベントリとレビューサイクルによるポリシー更新は、最新のアプリケーションセキュリティ環境におけるその動作を反映していません。

ほとんどのWebアプリケーションセキュリティツールは、予測可能なトラフィックと人間規模のインタラクションを想定して設計されました。しかし現在では、APIや分散アプリケーション全体でモデル生成ペイロードと自律的なサービスアクティビティを分析することが求められています。その結果、アプリケーションがどのように動作するかと、セキュリティシステムが実際に監視しているものとの間にギャップが生じています。このギャップは、まずアプリケーションとAPI全体における不完全な可視性として現れます。

可視性のギャップはリスクが最も高い箇所で最大となる

レポートによると、環境全体で使用されているすべてのアプリケーションとAPIを把握していると高い自信を持っている組織はわずか13%です。一方、APIは回答者の67%によって最もリスクの高いアプリケーションカテゴリと見なされており、53%で最大の可視性ギャップの1つとなっています。

AIはアプリケーション環境全体の変化を加速させています。エンドポイントは動的に生成され、依存関係は標準的なワークフローの外で追加され、シャドウAIツールは通常の制御なしで動作します。WebアプリケーションとAPIセキュリティのインベントリベースモデルは、安定した資産セットを前提としていますが、これはもはやアプリケーションの構築方法や展開方法と一致していません。

攻撃手法は馴染みのあるものだが、実行方法は変化している

クレデンシャルスタッフィング、API悪用、アプリケーション層のエクスプロイトがWebアプリケーション攻撃の主要な侵入ポイントであり続けている一方で、攻撃の手法は進化しています。最新のAI支援攻撃は継続的に動作し、リアルタイムで防御に動的に適応し、正規のトラフィックにシームレスに溶け込みます。レポートによると、74%の組織がAI生成またはAI支援攻撃の増加を確認しており、クレデンシャルベースの攻撃はインシデントの58%を占めています。

これらの攻撃が成功するのは、正規のアクセスパス内で動作し、エンドポイントを列挙し、アクセスをテストし、正当なアクティビティに似た方法でデータを抽出するためです。認証は、アクセスが許可された後に起こることを防ぐことはできません。最もクリティカルなアクティビティは、APIおよびセッションレベルで発生します。効果的であるためには、最新のアプリケーションセキュリティ制御もそこで機能する必要があります。

検知と対応が追いついていない

インシデントを数時間以内に検知できる組織はわずか20%です。半数以上が1週間以上かかり、約3分の1は1か月以上かかります。そして、修復のタイムラインも同じパターンをたどります。この遅延こそが、ほとんどの被害が発生する場所です。

検知が機能しないのは、シグナルが異なるシステムに分散しているためです。認証ログには有効なログインが表示され、APIゲートウェイには予想されるリクエストが表示され、アプリケーションログには日常的なトランザクションが記録されます。各システムはアクティビティの一部のみをキャプチャし、全体のシーケンスをキャプチャしないためです。共有されたコンテキストがなければ、脅威アクティビティはリアルタイムで接続されたパターンとして認識されません。代わりに、相関関係は通常、インシデントレスポンス中に、多くの場合手動で、後から発生します。

修復も同じパターンをたどります。対応は、部分的なビューから作業する複数のシステムとチームに依存しており、これにより露出期間がさらに延長されます。その結果、攻撃の動作方法と、検知および対応の実行方法との間にミスマッチが生じます。

ツールの断片化が問題を強化している

現在のアプリケーションセキュリティツールに満足していると報告している組織はわずか5%であり、62%はソリューションを統合中または統合を計画しています。これは、ツール間での一貫性のないポリシー適用、重複した制御、WebアプリケーションおよびAPIセキュリティシステム全体での断片化されたテレメトリなど、一連のクリティカルな運用上の問題を浮き彫りにしています。

このレポートは、限定的な可視性、高い誤検知率、ツール間の統合の不備などの継続的な問題を強調しています。これらの問題は、インスペクションと適用が共有ビューではなく別々のシステムによって処理される場合に悪化します。

アプリケーションセキュリティに必要なもの

このレポートは、これらの課題に一緒に取り組む必要があることを強調しています。環境は常に変化しており、アプリケーションとAPI全体での継続的なディスカバリが必要です。一方、攻撃は正当なトラフィック内でますます動作するようになっており、認証を超えたインスペクションが不可欠です。検知もアクティビティが発生するリアルタイムで行われる必要があります。そのためには、適用ポイント全体で共有されたコンテキストが必要です。そして、一貫したポリシー適用には、アプリケーションセキュリティツール全体での断片化を減らすことが求められます。

これらのいずれか1つだけに対処しても、全体的な結果は変わりません。

FortiAppSec Cloudが適合する場所

このデータは、アプリケーションレベルとAPIレベルの両方における可視性、インスペクション、検知、および適用における一貫したギャップを浮き彫りにしています。FortiAppSec Cloudは、WebアプリケーションとAPIセキュリティを統合することでこれらの課題に対処します。WAF、API保護、ボット減災、およびアプリケーションセキュリティサービスを単一のプラットフォームに統合します。これにより、ユーザー主導のトラフィックとサービス生成のアクティビティの両方を含む、アプリケーション全体にわたって一貫したポリシーを適用し、テレメトリを共有することができます。

この統合されたアプローチにより、個別の制御ポイントと断片化されたアプリケーションセキュリティツールによって生じるギャップが削減されます。また、インスペクションと適用がアプリケーション動作の同じビューで動作することを可能にします。これは、APIが高リスクでありながら十分に理解されていない環境では必要不可欠です。

データは明確です

アプリケーションとAPIにわたる可視性は依然として限定的であり、一方で攻撃は静的な制御では対応できない速度と規模で実行されています。また、システム間で断片化されたシグナルによって検出が遅れ、相関分析と対応が遅延します。そのため、組織はツールを統合し、これらの機能を個別に管理することで生じるギャップを解消しようとしています。

これは機能が不足しているという問題ではありません。アプリケーションアーキテクチャが、最新のWebアプリケーション、API、AI駆動型ワークロードの開発方法や、現在の攻撃の実行方法に追いついていないだけなのです。このギャップを埋めるには、可視性、インスペクション、適用を個別のレイヤーとして扱うのではなく、それらがどのように連携するかを再考する必要があります。

完全版レポートを読む

WebアプリケーションとAPIがAI駆動型の脅威に対してどの程度保護されているかを評価する場合は、データから始めてください。2026年Webアプリケーションセキュリティレポートをダウンロードして、現在のアプリケーションセキュリティアーキテクチャが、AIトラフィックと非AIトラフィックの両方にわたって、可視性、ランタイムインスペクション、検出をどのように処理しているかを評価してください。

■関連サイト