「WAFだけでは守れないAPI攻撃」―APIセキュリティの今と、対策の第一歩を知る1時間

クラウドシフト、マイクロサービス化により、企業におけるAPIの重要性は年々高まっています。同時に、APIは新たな攻撃対象としても注目されており、その脆弱性が深刻なインシデントを引き起こすケースが増加しています。

「WAFを導入しているから大丈夫」と思っていませんか？ 実は多くのAPI攻撃は、WAFでは防ぎきれない“設計上の不備”を突いてきます。

こうした背景を受け、Akamaiでは「APIセキュリティ」に特化した無料デモウェビナーを定期開催しています。本記事では、そのウェビナーで紹介する最新のAPI脅威動向、国内の実態、そして、Akamai による対策アプローチの一部をご紹介します。

なぜ今「APIセキュリティ」なのか？

APIは、データ連携やサービスの機能拡張に不可欠なインターフェースである一方、適切に管理されていない場合は重大なリスクをはらみます。

実際、Akamaiが独自に調査したインシデント統計では、過去1年で報告された大規模なセキュリティ事故のうち、3割以上がAPIの脆弱性に起因していたことが明らかになっています。たとえば次のようなケースがあります：

• モバイルアプリのAPI設計不備により、他人の予約情報やマイル残高が閲覧・操作可能に
• 認証なしのAPIが公開され、約3,300万件の個人情報が漏洩
• OTP認証にブルートフォース耐性がなく、車の位置情報やリモート制御が可能な状態に

これらの攻撃に共通するのは、“技術的に高度なハッキング”ではなく、「設計の盲点」を突いてきた点です。つまり、APIセキュリティは開発・設計段階からの意識と可視化・監視体制が鍵となるのです。

日本でもAPIの健康診断で浮かび上がる“見えていなかった脆弱性”

Akamaiでは2023年〜2024年にかけて、日本企業を対象に「APIセキュリティ・ヘルスチェック」を実施。わずか半年で30社近い企業がこの無償診断に参加しました。

結果、業種を問わず、認証・認可の設計ミスやセキュリティ設定不備、古いAPIバージョンの放置などが多数検知されました。特にAPI の認可制御のミスによって「他ユーザーのデータが取得可能な状態」が複数見つかるなど、ビジネスインパクトの高いリスクが浮き彫りになっています。

また、OWASP API Security Top 10 2023と照らし合わせると、日本企業においても上位3リスク（オブジェクトレベルの認可の不備（BOLA）、認証の不備（BA）、オブジェクトプロパティレベルの認可の不備（BOPLA）、認可不備、設定ミス）が集中している傾向が見られ、グローバルと同様の対策が急務であることがわかります。

AkamaiのAPIセキュリティ：ゼロタッチで可視化・検知・対処まで

Akamaiが提供するAPIセキュリティソリューションは、買収したNoname Securityをベースに構築されています。特長は以下の通りです：

• 資産管理（APIの可視化）：全APIを棚卸し・分類、リスクスコア付きで可視化
• 設定不備の検知：APIの実装とベストプラクティスを比較し、認証・認可ミスやセンシティブデータの露出などを検知
• ふるまい検知（ML）：通常の利用パターンと異なる通信をリアルタイムに検出し、攻撃予兆を察知
• アクティブテスティング：開発ライフサイクル中に定期的な自動テストを組み込み、APIの脆弱性を発見、修正を実施するシフトレフトの加速化

特に、AkamaiのWAF（App & API Protector）を導入済みであれば、ゼロタッチでAPIセキュリティ連携が完了するという導入のしやすさも大きな魅力です。

まずは1時間、APIセキュリティの“見えない不安”を可視化しませんか？

本ウェビナーでは、上記のような最新の脅威事例や、日本におけるAPIセキュリティの実態、そしてAkamaiが提供するソリューションの具体的なデモをご紹介しています。

「まずは状況を把握したい」「WAFではAPIを守れないと聞いて不安」「監査やレポート作成を効率化したい」―そんな方はぜひ一度ご参加ください。

次回開催日・登録はこちら： APIセキュリティ デモウェビナー 登録ページへ