重要ポイント
- 可視性はセキュリティの前提条件です。急速に変化し続ける環境とAIの統合により、攻撃者に悪用される盲点が生まれています。APIの完全なインベントリを維持し、どのAPIが機微な情報を返すかを把握している組織はわずか22%にとどまっており、大多数の組織が可視化されていないリスクにさらされています。
- AIの導入により、アタックサーフェスが拡大しています。LLM APIなどの新しいAI関連のAPIは、従来の監視の枠組み外でデータを取得し、アクションを実行するという新たな依存関係を生み出しています。これらのコネクタは、最も一般的でありながら最も防御が不十分な攻撃ベクトルであるため、エントリポイントとして悪用される前に、十分な探索を行う必要があります。
- 管理されていない資産が侵害の再発を招きます。組織はシャドーAPIやゾンビAPIの管理に苦慮しており、その結果、APAC域内の企業の81%が昨年中にセキュリティインシデントを経験しています。この持続的な脅威のサイクルを断ち切るには、より厳密な自動トラッキングが必要です。
- 経営陣と技術チームの認識のずれがレジリエンスを阻害します。経営陣がAPIテストプロセスを過信しているため、ソフトウェア開発ライフサイクル(SDLC)への統合が十分に進んでいないという実態が見過ごされています。多くの組織では、セキュリティを重視したテストがAPIのライフサイクルに組み込まれておらず、CI/CDプロセスへのAPIテストの統合も進んでいません。経営陣の認識をDevSecOpsチームが把握している実態と調整することで、AIアプリケーションなどのAPI活用テクノロジーをテストして、脅威に対するレジリエンスを確保できるようになります。
- 不十分なAPI監視が財務および規制遵守の面で重大な影響を及ぼします。機微な情報の流れを十分に追跡できていない企業は、100万ドル規模の損失を伴うインシデントや、中国、インド、日本といったAPAC各国のデータ関連法規に対するコンプライアンス違反のリスクにさらされます。中核的な事業投資を保護するには、データを考慮したAPI可視化機能の実装が今や基本要件となっています。
- 市場固有の変動要因が地域の安定性を脅かします。日本とシンガポールでは財務面での影響が特に大きく、日本の平均インシデントコストは前年比で約200%と急増しています。組織は画一的なポリシーにとどまることなく、地域ごとに異なるコスト増加や複雑性に対応しなければなりません。
よくある質問(FAQ)
よくある質問(FAQ)
AIイノベーションとクラウド導入の急速な拡大により、API環境の規模と複雑性が増大しています。その結果、チームにとって接続を追跡し、リスクを特定することがますます困難になっています。また、可視化されておらず、テストも保護もされていない新たなAPIが大量に導入されています。
一般的な組織では、現在約6,000件のAPIがインベントリに登録されています。上位25%の組織が保有する大規模なAPI環境では、その数が32,300件を超える場合もあります。
本調査によると、APAC地域の組織の43%が、LLM、アプリケーション、エージェントなどのAIテクノロジーに関連するAPIを介した攻撃を経験しており、インシデントの種類別で最大でした。
インシデント1件あたりの平均コストは100万米ドルを超えており、その大部分は修復、是正対応、およびサービス停止によるものです。
完全なAPIインベントリを維持し、どのAPIが機微な情報を返すかを把握している日本の回答者はわずか11%にとどまり、2025年の37%から大幅に低下しているためです。
はい。たとえば、AI関連のAPI攻撃への備えができていると答えた経営幹部の回答者は56%だったのに対し、実際の実装を担当するAppSecチームでは44%でした。
中国のデータセキュリティ法やインドのデジタル個人データ保護法などの規制は、組織に対し、侵害を検知し防止するために、APIに関連するデータフローを把握し、保護していることを証明するよう求めています。
高度なテストを実施していると回答した組織は40%に上る一方で、APIのソフトウェア開発ライフサイクル(SDLC)およびCI/CDパイプラインにセキュリティテストを完全に組み込んでいる組織はわずか19%にとどまっています。