API セキュリティの最大の危険信号

API セキュリティの欠陥は今では一般的であり、公になっています。 AI アプリと相互接続されたエコシステムにより、リスクと複雑さが増大しています。 攻撃者が API エンドポイントを標的にするようになったのは偶然ではありません。

企業は、API ベースのアプリケーションを防御する準備ができていることを確認するために、API セキュリティ戦略を再評価する必要があります。 しかし、どこから始めればよいのでしょうか?

このインフォグラフィックでは、すべての組織が認識しておくべき API セキュリティの危険信号トップ 5 について詳しく説明します。 これらの兆候をより深く理解することで、企業は主要なリスクを認識し、積極的に対処して API セキュリティに対する総合的なアプローチを改善できます。

タブをクリックして、API セキュリティの危険信号について学習します
すべての API がどこにあるか分からない
  • API の無秩序な拡散は驚くほど広範囲に及んでいます。 Datos API セキュリティ ソリューション評価ガイドによると、2030 年までに使用される API の数は 20 億を超え、組織ではすでに平均 20,000 を超える API が使用されています。
  • API エンドポイントには特有の課題があります。 F5 の2024 年アプリケーション戦略の現状レポートによると、「個々の API には数十または数百のエンドポイントが存在する可能性があります。」 さらに事態を複雑にしているのは、組織が自社のシステムと接続するすべての API を完全に制御できない可能性があることです。
  • Postman の 2023 年 API の現状レポートでは、 API の使用に関する次の障害が特定されています。
    • 文書の不足(52%)
    • APIの発見の難しさ(32%)
セキュリティ標識のある世界
組織の攻撃対象領域に曖昧さがある
  • Datos API セキュリティ ソリューション評価ガイドでは、中核となる問題について説明しています。 「API 攻撃対象領域の列挙は、API のセキュリティ保護に不可欠です。 CISO は知られていないものを保護することはできません。 シャドウ API、孤立 API、バージョン外 API、および古くなった API を識別するには、API 検出が必要です。」
  • API は現代のあらゆるビジネスにとって重要です。 Venture Beatが説明しているように、「API は Web トラフィック全体の 91% を占めており、マイクロサービス アーキテクチャへのトレンドや急速に変化する市場状況に動的に対応する必要性に適合しています。」
  • そして、API は重要な役割を果たしているため、サイバー犯罪者の格好の標的となっています。 Web ベースのサイバー攻撃の 90% はAPI エンドポイントを標的としており、侵害された API 発信元の攻撃記録の数は 10 億件を超えています。
デジタル政府 / デジタルサービス
セキュリティ スタックが複雑すぎる
  • 今日のアプリと API は、ハイブリッドのマルチクラウド環境に導入されています。 2024 年のアプリケーション戦略の現状レポートで報告されているように、組織の約 90% が、SaaS、パブリック クラウド/IaaS、オンプレミス (従来型)、オンプレミス (プライベート クラウド)、コロケーション、エッジなどのハイブリッド展開モデルで運用されています。
  • 同レポートによると、6 つの異なるモデルで運営されている組織の数は、2023 年から 2024 年にかけてほぼ 20% 増加しました。
  • 大企業(従業員数 10,000 人以上)の 66% は、通常60~80 個のセキュリティ ツールを使用しています。これは、複数のクラウド環境にわたる特定のニーズに対応するために専用のツールが必要であることが一因です。
雲の三角形
セキュリティ態勢の維持は手作業が多すぎる
  • API とエンドポイントが非常に多いため、手動によるセキュリティ更新は持続可能ではありません。 API のセキュリティ保護を自動化すると、手動による更新の必要性を大幅に減らすことができます。これは、毎月 1,800 万件の API リクエストを管理する複雑さを軽減するための取り組みを記録したMcGraw Hill のケース スタディで実証されています。
  • アプリケーション戦略の現状に関する調査の回答者は、ゼロデイ攻撃に対応する際に手動でのパッチ適用と更新では十分な速さではないと報告しており、多くの意思決定者は、攻撃が成功した場合のコストが高いため、アプリと API のセキュリティ自動化が必須であると報告しています。 そのため、アプリと API の自動化は過去 1 年間で 33% から 43% に増加しました。 公開される CVE の数は増加傾向にあり、 F5 Labs の研究者は、2025 年の典型的な週に 500 件の新しい CVE が公開されると予想しています
  • 生成 AI の採用の増加は、アプリと API のセキュリティにも影響を及ぼします。セキュリティにおける生成 AI の主な使用例は、セキュリティ ポリシーを自動的に調整し、検出された脅威に基づいてセキュリティ構成を生成することです。
レガシーの近代化
AI アプリのセキュリティ確保に不安がある
  • 生成 AI のセキュリティ保護は、優れたアプリと API セキュリティの基盤から始まります。 これは、Google のクラウド デベロッパー アドボケートであるMete Atamel 氏が簡潔に説明しています。 「gen AI をどのように使用しているかに関係なく、最終的には SDK またはライブラリ、あるいは REST API 経由でエンドポイントを呼び出すことになります。」
  • OpenAI GPT ストアの立ち上げから 2 か月が経過しましたが、ユーザーはすでに 300 万を超える ChatGPT のカスタム バージョンを作成しており、サードパーティ プロバイダーのセキュリティ保護に伴うセキュリティ上の課題の大きさを示しています。
  • IDC は、「回答者の 66% が GenAI、そして広く言えばパブリックおよびプライベートの AI ワークロードを主要なユースケースの 1 つとして挙げています」と報告しています。 その結果、「ほとんどのエンタープライズ AI 搭載アプリケーションは実装が高度に分散されており、パブリック クラウド、専用クラウド、オンプレミスのインフラストラクチャとアプリケーション環境の多様なセットを、可用性とセキュリティの高い方法で横断する必要がある数十から数百の API 対話が必要である」ことがわかりました。 F5 の研究者らはまた、ほとんどの組織が AI アプリをハイブリッドおよびマルチクラウド環境に導入する予定であることも発見しました。State of Application Strategy の調査回答者は、AI アプリをパブリック クラウド (80%) とオンプレミス (54%) で維持すると回答しています。  
アイデンティティとアクセス管理

F5 が組織のAPI セキュリティに対する総合的なアプローチの改善にどのように役立つかをご覧ください。