Akamai Technologiesは、2023年第1四半期にAPIセキュリティリスクへの対処に関するエンタープライズの意識、準備状況、将来的な計画について、SANS Instituteと協力して調査した。なお調査レポートとして「2023 SANS Survey on API Security」(2023年SANS APIセキュリティ調査)が発表されている。
調査には主に事業者においてアプリケーションセキュリティに関与する、またはそれに準じる世界の231人の回答者が調査に参加した。
調査結果によると、APIセキュリティテストツールを導入している回答者の割合は50%未満であり、APIディスカバリーツールを導入している回答者の割合はさらに少ない(29%)ことが判明した。またDDoS対策サービスや負荷分散サービスに含まれるAPIセキュリティコントロールは「十分に活用されていない」とされており、この機能を利用している回答者の割合はわずか29%だった。
さらに62%の回答者は、APIリスク緩和の一環としてウェブアプリケーションファイアウォールを利用しており、57.1%の回答者は、APIインベントリの精度が25〜75%であると回答しているという。
またほとんどの回答者は、APIセキュリティリスクの問題に対して、ウェブアプリケーションのセキュリティ推進を目的に設立された非営利団体Open Web Application Security Project(OWASP)の「OWASP Application Security Top10」リストと「OWASP API Top10」リストについて言及。アプリケーションとAPIのリスクを定義するための基礎として「MITRE ATT&CK Framework」を取り上げていることが分かった。
OWASP API Top10の上位は、APIの実装に特有の脆弱性を悪用した攻撃が占めているが、それにもかかわらず、この調査で回答されたAPIセキュリティに関する懸念事項の第1位はフィッシング(38.3%)、第2位はパッチの見落とし(24%)だった。さらに脆弱なアプリケーション/APIの悪用(12%)、過失による重要情報の開示(9.1%)と続いている。
この結果に対し、レポートの結論では「利用中のAPIの発見と(APIごとに異なる)脆弱性の評価を最上位にする必要がある」と述べている。
また76%の調査参加者は、開発者に対してアプリケーションセキュリティに関するトレーニングを実施していると回答している。
Akamai Technologiesでは、調査の結果、脆弱なAPIが攻撃に最もよく利用されるアクセスのポイントとなっていることを踏まえ、企業は多くのAPIがどこでどのように稼働しているかにもっと注目する必要があるとしている。
