重要ポイント
- セキュリティのレジリエンスがAPIの拡大に追いついていないのが現状です。デジタル化とAIの急速な革新により、APIインベントリは爆発的に増加し、中央値でエンドポイント数は5,900を超えています。セキュリティの成熟度を超える速度で成長しているため、管理不能なアタックサーフェスが生じ、昨年は企業の87%が十分に防御できていませんでした。
- AIの導入はAPIレイヤーにとってリスクを増幅させる要因となります。2025年には、組織は生成AIに370億ドルを投資し、そのうち190億ドルをアプリケーションレイヤーに配分しました。しかし、これらのアプリケーションは、必要な可視性やセキュリティ制御が欠如していることの多いAPIに頼っています。その結果、現在では、セキュリティインシデントの42%が、AIアプリケーション、モデル、エージェントを支えるAPIに関連しています。
- 可視化されていないデータフローから、コンプライアンスとセキュリティの大きな盲点が生まれます。多くの企業はインベントリを完全に把握していると主張していますが、実際にどのAPIが機微な情報を返すかを把握している企業は23%にとどまり、40%だった2022年の割合よりも減少しています。このような知見が不足することでリスクの優先順位付けが困難になり、規制対象データが不正アクセスにさらされたままになります。
- 経営陣と現場の技術スタッフの間には、危険な「認識の差」が存在します。経営幹部の40%が自社のAPIセキュリティテストは「高度」であると認識している一方で、実際にテストを実施しているDevSecOpsチームでこれに同意するのはわずか28%に過ぎません。この認識のずれは、重大な運用上の弱点を覆い隠し、セキュリティの自動化に必要な投資を遅らせる要因となります。
- APIセキュリティの不備は、数字で見える深刻な経済的損失につながります。API関連インシデントにかかる組織あたりの平均コストは、年間70万米ドルに達しました。これには、修復費用、ダウンタイム、訴訟費用などが含まれます。こうしたコストの増加を緩和して企業の収益を守るには、専用のAPIセキュリティツールの導入が不可欠です。
よくある質問(FAQ)
よくある質問(FAQ)
2026年の調査では、回答者の87%が、過去12か月間に少なくとも1件のAPI関連のセキュリティインシデントを経験したと報告しており、これは2022年の78%から大幅に増加しています。
API関連インシデントによる平均的な影響は組織あたり70万米ドルですが、影響を受けた企業の上位25%は経済的な影響が180万米ドルを超えたと報告しています。
AIアプリケーションは、データアクセスやアクション実行をAPIに頼っていますが、これらのAPIは十分なレジリエンスを備えていないことが多くあります。調査回答者の42%が、セキュリティイベントはAIアプリケーション、エージェント、LLMを支えるAPIに紐づいていると回答しました。
最もよくある原因として挙げられるのは設定の不備です。これに対する対応が「やや不十分〜中程度にとどまる」と報告している企業の半数近くで、APIセキュリティインシデントが発生しています。
最も標的とされているのは金融サービス業界です。同業界の回答者の96%が、過去12か月間にAPI関連の攻撃を受けたと報告しています。
AI連携型APIは、機微な情報を提供または取得し、エージェントや大規模言語モデル(LLM)に接続し、または包括的な可視性やガバナンスなしで自動化されたアクションを可能にするAPIと定義されています。
回答者の約4分の3はAPIを完全に把握したインベントリがあると主張していますが、実際にどのAPIがリクエストに応じて機微な情報を返すかを把握しているのは、4分の1未満(23%)です。
2025年に調査参加者が経験したAPIセキュリティインシデントによる影響として、最も多く挙げられたのは生産性の低下です。次いで、ブランド評価の低下や収益の損失などの要因が挙げられています。