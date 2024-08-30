規制当局は API のリスクを認識しています。そのため、企業は、データの侵害を防ぐための可視性と制御を備えていることを示せなくてはなりません。

Verizon の 2023 Data Breach Investigations Report（データ漏えい調査レポート）によると、ペイメントカードのデータが侵害される割合は 37% と、3 分の 1 を超えています。PCI DSS v4.0 では、多要素認証とパスワードの長さに関する新たな要件が含まれており、決済業界のアタックサーフェスにおける人的要素のセキュリティ確保を図っています。

しかし、ここで注意しなければならないことは、データ漏えいは、従業員パスワードのフィッシングのようによく知られた人間中心の攻撃手法が原因であるとは限らないということです。

たとえば、e コマース企業への攻撃の 18% では、カードを処理する Web ページに埋め込まれた悪性のコードが関与しています。今日の脅威アクターはますます巧妙になっており、API のように適切に保護されないことが多い IT 環境の要素のうち、人手を介さない自動的なものに狙いを定めます。

Akamai の調査によると、企業の 78% が API 関連のセキュリティインシデントを経験しています。API の脅威には緊急を要するという認識に立ち、PCI DSS v4.0 には、新しい API セキュリティルール、ガイドライン、およびベストプラクティスが含まれています。まず、要件 6.2.3 について詳しく説明します。