- コマース組織ではAPIインシデントが頻発しており、アクセス制御やAI関連の攻撃がその主因となっています。コマース業界のリーダーは、昨年はアクセス制御の欠如や不十分さを悪用したインシデントが最も多く、AIテクノロジーと連携したAPIを含む攻撃が僅差で続いたと報告しています。
- 機微な顧客情報や決済情報の流れを把握しきれていないことは、依然として深刻な問題です。多くのコマース組織がAPIの完全なインベントリを保有していると主張していますが、それらのAPIのうちどれが機微な情報を返すのかを把握している組織はごくわずかです。
- コマース業界のリーダーはAIセキュリティを最優先事項としているものの、テストの成熟度やランタイム保護の取り組みは遅れています。コマース組織の41%が、AIテクノロジーを攻撃から守ることはサイバーセキュリティにおける最優先事項であるとしています。
重要ポイント
よくある質問(FAQ)
よくある質問(FAQ)
2026年の調査によると、コマース組織の85%が過去12か月間に少なくとも1件のAPI関連のセキュリティインシデントを経験したと報告しています。
最も多いのはアクセス制御の欠如または不十分の悪用であり、わずかな差でAIテクノロジーと連携したAPIを含む攻撃が続きます。
攻撃者は、改ざんされたプロンプトを利用してAIショッピングアシスタントをだまし、保護されていない基盤APIにリクエストを送信させ、機微な顧客情報や決済情報を無検証のまま漏えいさせる可能性があります。
可視性は危険なほど低くなっています。自社のAPIインベントリのうち、機微な顧客情報や決済情報を実際に返しているAPIを追跡できるコマース組織は、わずか約22%です。
調査によると、経営幹部は組織の準備状況を過大評価する傾向があり、APIを日常的に扱うDevSecOpsやAppSecの専門家よりも、成熟度と統合度を2%~12%高く評価していることが明らかになっています。
企業の92%はAPIをコンプライアンスの対象として考慮に入れていると回答している一方で、実際に正式なコンプライアンス報告にAPIを含めている企業はわずか36%に過ぎず、全体の意図と実務上の規制対応との間にギャップが生じています。
チームは、すべてのAPIの継続的な自動探索の実装、開発ライフサイクル全体にわたる機能テストから厳格なセキュリティテストへの移行、および専用のふるまいベースのランタイム保護の追加に注力すべきです。