開発者のほとんどがAPIのセキュリティリスクに遭遇、懸念される“ゾンビAPI”　Salt Labs：「APIセキュリティ」は経営課題に

　APIセキュリティベンダーSalt Securityの研究部門であるSalt Labsは2023年3月29日（米国時間）、同社の顧客データと378人のセキュリティ専門家やAPI開発者を対象に調査した結果をまとめた「Q1 2023 State of API Security」を発表した。同調査によると、APIを狙ったサイバー攻撃が増加しており、過去1年間にAPIセキュリティが経営層レベルの議論になるなど、APIセキュリティがビジネス課題として浮上していることが明らかになった。

回答者の94％が過去1年間でAPIのセキュリティリスクに遭遇

　調査結果によると、APIを狙ったサイバー攻撃は2022年12月の1カ月間で半年前比400％増となる4845件だった。攻撃の78％が、正規のユーザーになりすまして認証されたAPIを通じて行われており、8％の攻撃は完全に無防備な組織内部のAPIに対して行われていた。

　APIを狙ったサイバー攻撃が相次ぐ中、多くの組織はAPIセキュリティリスクに遭遇している。同調査によると、94％の回答者が、過去1年間に、本番環境のAPIにおけるセキュリティリスクに遭遇していた。最も多かったのは脆弱（ぜいじゃく）性で41％、認証に関する問題が40％、機密データの漏えい／プライバシー事故が31％だった。

過去1年間で遭遇したAPIセキュリティリスクの内訳（提供：Salt Labs）

　Salt Labsは独自調査の結果、90％のAPIで脆弱性を確認しており、その内50％はクリティカルなものだった点を踏まえ、調査結果よりも、多くのAPIに未知の脆弱性が存在するだろうと考察している。

未使用、時代遅れの“ゾンビAPI”が懸念事項に

　企業がAPIのセキュリティリスクに関して最も懸念しているのは、開発者が更新を行わずに放置したゾンビAPIだった。ゾンビAPIは、新たな脆弱性に対する保護が不十分だったり、古い認証方式を使用していたりする可能性がある。2番目に懸念しているのは、アカウントの乗っ取り／不正利用だった。

APIセキュリティに関する懸念事項の内訳（提供：Salt Labs）

　さらに、回答者の半数以上（59％）が、APIセキュリティのリスクを受け、新しいアプリケーションの展開が遅れるなどビジネスに影響が出ていた。APIセキュリティに関して経営層レベルで議論になったと回答した割合も半数近く（48％）に上った。

　Salt Labsは調査結果を踏まえ、APIセキュリティ対策を過小評価せず、成熟した戦略を採ることが重要だとしている。