金融サービスにおけるAPIセキュリティリスク

金融機関の96%がAPIインシデントを経験している理由をご確認ください。AI関連の脅威、設定ミスによるリスク、そしてコスト削減につながるセキュリティ戦略に関する知見をご紹介します。

重要ポイント

金融サービス組織では、データ漏えいやAI関連の攻撃など、APIインシデントが頻繁に発生しています。AIアプリケーション、エージェント、大規模言語モデル（LLM）は、機密性の高いシステムや顧客情報にアクセスするためにAPIに頼っています。金融サービス業界では、これらと同様のAPIが特に高価値な標的となっています。また、この業界はインシデントの発生頻度においても際立っており、被害を受けた組織の半数近くが4件以上のインシデントを報告しています。

機微な顧客情報や決済情報の流れを把握しきれていないことは、深刻な問題です。ほとんどの金融サービス組織はAPIの完全なインベントリを保持していますが、機微な情報を返すAPIを把握しているのはわずか27%に過ぎません。これらのAPIは、PCI DSS、DORA、GDPRの規制対象となる金融に関する個人情報、口座情報、および決済データを扱うため、可視性の欠如は特に深刻な懸念事項となっています。

金融サービス業界のリーダーはAPIセキュリティを最優先していると主張していますが、実際にはギャップが残っています。AIテクノロジーを攻撃から保護することは、今や業界全体で最優先で取り組むサイバーセキュリティとなっています。同時に、金融サービス業界のリーダーの74%が、過去1年間でAPIセキュリティをより重視するようになったと回答しています。その背景には、AIやデジタルイニシアチブによるAPIの急速な増加や規制当局からの圧力、監査所見があります。

残念ながら、このページにアクセスしているブラウザ/OS はこの機能をサポートしていません。 PDFにアクセスできます here

金融サービス組織のほぼすべて（96%）が2025年に少なくとも1件のAPI関連のセキュリティインシデントを報告しており、そのうちほぼ半数（48%）が12か月間で4件以上のインシデントを経験しています。

年間平均の金銭的影響は約62万米ドルです。中国、シンガポール、日本で最も高く、ブラジルと英国でも平均を上回っています。

APIを介したデータ漏えいが最多（40%）であり、AIに連携したAPIを標的とする攻撃（39%）が僅差で続きます。

最大の根本原因はAPIの設定ミスであり、金融サービス業界のリーダーの65%が、継続的な事業およびガバナンス上のギャップの原因として挙げています。

組織の78%が完全なインベントリを持っていると主張する一方で、51%はどのAPIが機微な情報を返すかを把握しておらず、PCI DSS、DORA、GDPRの規制対象となるAPIにコンプライアンス上のリスクが迫っています。

セキュリティテストの成熟度は低く、金融サービス組織のうち、API SDLCおよびCI／CDパイプラインのすべての段階でセキュリティテストを組み込んでいるのはわずか17%です。

リーダーは、すべてのエンドポイントの継続的な自動探索を優先し、機能チェックを超えた高度なテストを実施し、AI特有の攻撃を防ぐための専用の多層的なランタイム保護を導入すべきです。