F5の最新調査で、日本企業はAPIセキュリティの「設定ミス」への懸念が高い傾向が明らかに

脅威の検知・軽減を目的としたAIソリューションの採用率は20%に上る

F5（本社：米国ワシントン州、NASDAQ：FFIV、以下「F5」）は、アプリケーション・プログラミング・インターフェース （以下、API）のセキュリティにおける課題および機会を検証するため、アジア太平洋地域の企業・組織を対象に初めて行った調査結果をまとめた「2024年戦略的考察：アジア太平洋地域におけるAPIセキュリティレポート」を発表しました。

レポートによると、日本ではAPIセキュリティに関する最大の懸念として回答者の21%が「セキュリティの設定ミス」を挙げ、アジア太平洋地域全体（13.2%）よりも高い傾向にあります。

一方、APIがサイバー攻撃の対象になるケースが増加傾向にあることを背景に、アジア太平洋地域の企業や組織の5社に1社が、従来のセキュリティ対策では見過ごされる可能性のあるServer Side Request Forgery (SSRF) などの高度な脅威を検知・軽減するために、AI/ML（機械学習）技術を採用していることも明らかになりました。日本でも同様に、AI/MLソリューションを採用する企業・組織が20%に上りました。

F5のアジア太平洋地域・中国・日本 チーフ・テクノロジー・オフィサーであるモハン・ヴェロー（Mohan Veloo）は次のように述べています。「アプリケーションはサイバー犯罪の玄関口となり、犯罪者はそのドアをこじ開ける鍵として、ますますAPIを使用する傾向にあります。アジア太平洋地域全体では、サイバー犯罪者がAIを活用したツールを駆使することで、スピード、規模、巧妙さがエスカレートし、より多くの攻撃が観測されつつあります。API接続とそれを経由するデータを保護することは、同地域の企業や組織にとって、重要なセキュリティ上の課題となっているのです」。

アジア太平洋地域の企業や組織がランタイムにおけるAPI保護を検討するなか、多くは開発時からAPIを保護することの重要性を認識するように変化しています。強固なコードセキュリティの基準と実践を導入することは、同地域の企業や組織の間で、「オブジェクトレベルでの認可の不備 (Broken Object Level Authorization: BOLA) 」「セキュリティの設定ミス」「SSRF」を含め、広範かつ複雑な脆弱性からAPIを保護するための基本戦略として浮上しています。

F5のフィールドCISOであるチャック・ヘリン（Chuck Herrin）は、次のように述べています。
「レポートによると、日本ではAI/MLソリューションの導入率が高く、これら最新のアプリケーションに接続しサポートするために使用されるAPIの数が急速に増加し続けることが予想されます。新たな脅威に対する最善の防御策は徹底した防御戦略、すなわちAPIやAPIが公開するデータなどの資産を保護するために複数のセキュリティ対策を重ねるアプローチです。攻撃側を深く理解することで、潜在的なリスクに先回りして対処する包括的な多層防御を構築し、デジタルインフラの安全性を確保しつつ成長を実現することができます」。

本レポートにおける、日本の企業・組織への調査結果のポイントは以下のとおりです。

• APIセキュリティ対策において「セキュリティの設定ミス」「認証の不備」「制限のないリソース消費」の軽減を優先：日本におけるAPIセキュリティの最大の懸念は「セキュリティの設定ミス」で、回答者の21％がこれを主要な問題として認識しており、アジア太平洋地域全体の13.2%を上回っています。懸念の背景として、複雑で設定ミスが起こりやすいREST APIとRPC プロトコルが広く使用されていることが挙げられています。次いで多かった回答は、「認証の不備」「制限のないリソース消費」でした。
• 堅牢なAPI保護のために「AI/MLおよびAPIゲートウェイソリューション」を採用：日本では「AI/MLソリューション」の採用率が20%と非常に高く、包括的な脅威の検出と阻止のために先進的なテクノロジーを活用していることが示唆されています。これらのソリューションは、「制限のないリソース消費」や「オブジェクトレベルでの認可の不備」といったOWASPが指摘するAPI関連リスクを効果的に軽減する効果があります。「APIゲートウェイ」は18.7%の採用率で、APIトラフィックを管理し保護する上で重要な役割を果たしています。
• APIセキュリティ上の懸念に対処するために、「APIセキュリティテスト」を重要視：RESTとRPCプロトコルの広範な使用を背景に、「APIセキュリティテスト」は日本の企業・組織で最も優先度が高く、回答者の50％が最優先の懸念事項として挙げています。

「2024年戦略的考察：アジア太平洋地域におけるAPIセキュリティレポート」について

本調査は、アジア太平洋地域におけるAPIセキュリティの現状を評価するため、F5がTwimbit社に委託して2024年上半期に実施しました。セキュリティ、DevOps、SecOps、アプリケーション開発などさまざまな分野の専門家297人を対象にアンケート形式で行われ、回答者はアジア太平洋地域の11のマーケット（オーストラリア、中国、インド、インドネシア、日本、韓国、マレーシア、ニュージーランド、シンガポール、台湾、タイ）に分布しています。

レポートの全文（英語）は下記リンク先でダウンロード可能です。
https://www.f5.com/c/apcj-2024/asset/2024-strategic-insights-api-security-in-apac

■F5について
F5はより優れたデジタル世界の実現に取り組む、マルチクラウド・アプリケーション・サービスおよびセキュリティ会社です。F5は、世界最大かつ最先端の組織と提携し、オンプレ・クラウド・エッジなどの場所を問わず、あらゆるアプリとAPIの最適化およびセキュリティの確保を実現します。F5により、これらの組織は顧客に卓越したセキュアなデジタル体験を提供すると共に、常に新たな脅威に対応します。F5やパートナー企業、テクノロジーに関する詳細は以下のリンクをご参照ください。

ホームページ　https://www.f5.com/ja_jp
X（旧Twitter)　@F5Japan
LinkedIn　LinkedIn

免責事項
「F5」はアメリカ合衆国やその他の国のF5 Networks, Inc.のトレードマーク、サービスマーク、及びトレードネームです。記載されたその他すべての商品名や企業名はそれぞれの企業が所有権を有する商標である可能性があります。

将来の見通しに関する事項
本書はイベントや財政業績に関した将来予想に関する記述を含んでいる可能性があり、リスクや不確定要素による影響を伴うことがあります。そのような記述は「可能性がある」「していくだろう」「予想される」「計画する」「期待する」「信じる」「推定する」「予測する」「潜在的な」「続ける」もしくはそれらの否定形や比較級で記されています。このような記述は予想に過ぎず、証券取引委員会に提出する財務諸表や公的文書から確認される多くの要因に基づき、記述内の予想と実際の結果とは異なる可能性があります。

# # #