「自信はあるのに……」 半数以上が過去1年でAPIインシデントを経験：セキュリティニュースアラート

Kongは「APIセキュリティの展望 2025年版」を発表した。調査によると、回答企業の多くがセキュリティ対策に自信を持っている一方で、半数以上が過去1年間にAPIセキュリティインシデントを経験していることが分かった。

[後藤大地，有限会社オングス]

　Kongは2025年1月22日、最新レポート「APIセキュリティの展望 2025年版〜AI強化型の脅威とAPIセキュリティ〜」を発表した。同レポートでは現在のAPIセキュリティの状況や、AIの進化がAPIセキュリティに及ぼす影響などが詳述されている。

　同調査は2024年10〜11月にかけて米国および英国のIT専門家およびビジネスリーダー700人を対象に実施された。KongではAPIセキュリティの進化する状況を現在のトレンドやダイナミクスに関する専門家の意見を参考に分析した。

APIセキュリティインシデントで多額の損害が発生？　過小評価は禁物

　調査結果によると、回答者の25％がAPIやLLM（大規模言語モデル）に関連するAI駆動型のAPI攻撃を経験しており、75％が今後の攻撃に対する深刻な懸念を示している。一方で、85％が「自社のセキュリティ能力に自信を持つ」と回答しているものの、55％が過去1年間にAPIセキュリティインシデントを経験しており、実際のリスクとのギャップがあることが判明した。

　さらに回答者の20％は過去1年間にAPIセキュリティインシデントによって50万ドル以上の損失を被っており、APIセキュリティの強化が急務であることが示された。92％の回答者がAI駆動型攻撃への対策を講じているものの、多くの組織で包括的なセキュリティ対策が不足している現状も明らかにされている。

　この他、ゼロトラストアーキテクチャを採用している組織がわずか35％にとどまり、シャドーAPIを重大な脅威と認識しているのは3％にすぎない。APIとAIの融合が進む中、より強固なAPIセキュリティ体制の構築が求められている。

　APIセキュリティ対策としては「監視とトラフィック分析の強化」（66％）、「AI関連脅威に関するスタッフ教育」（60％）、「AI駆動型脅威検出システム」（51％）が重視されている。APIセキュリティリスク軽減のための主な手法としては「API監視と異常検出ツール」（63％）、「APIゲートウェイソリューション」（61％）、「APIの暗号化とトークン化」（58％）が挙げられている。

　その他の主な調査結果は以下の通りだ。

• 45％の組織がサイバーセキュリティ予算の少なくとも20％をAPIセキュリティに充てている
• 41％が自社組織の投資がAPIセキュリティリスクを十分にカバーできているかどうかに疑問を感じている
• 66％が内部ポリシーや外部規制（GDPR、HIPAAなど）に準拠するためにAPIガバナンスフレームワークを実装している

　KongのCTO（最高技術責任者）兼共同創業者のマルコ・パラディーノ氏は「AI時代において、セキュリティリスクを過小評価することは許されない。同レポートは、APIセキュリティが全体的なサイバーセキュリティ戦略の一部として真剣に捉えられていることを示しているが、見落としているリスクもある。脅威の全体像を理解することが、強固なAPIセキュリティ体制を維持するために重要だ」と語った。