Akamai Technologiesは、アジア太平洋(APAC)地域におけるAPIセキュリティの実態を調べた最新調査「APIセキュリティの影響に関する調査(APAC版)」の結果を発表しました。中国、インド、日本、シンガポールのサイバーセキュリティ意思決定者640人を対象に実施されたこの調査では、過去12か月間にAPAC回答者の81%がAPIに関するセキュリティインシデントを経験したことが明らかになっています。
特に注目すべきは、最も多いインシデントの種類がAI関連のAPI攻撃だったことです。回答者の43%が、アプリケーション、AIエージェント、大規模言語モデル(LLM)などのAI技術に関連するAPIへの攻撃を報告しました。企業がAI対応サービスを急速に展開する中で、APIの監視・管理・保護が追いつかず、リスクが拡大している構図が浮かび上がります。
被害額は前年から急増、日本は1件あたり約2億4,600万円
金銭的な被害も深刻さを増しています。インシデント1件あたりの平均推定コストは、前年調査の58万米ドルから大幅に増加し、100万米ドル(約1億5,500万円)を超えました。
国・地域別に見ると、日本では1件あたりの平均被害額が159万米ドル(約2億4,600万円)と過去最高を記録しています。シンガポールでも平均133万米ドルに達しました。インシデント経験率ではインド(93%)とシンガポール(90%)が特に高い数値を示しています。
可視性の欠如と経営層・現場の認識ギャップ
調査からは、企業のセキュリティ体制における構造的な課題も浮き彫りになりました。自社のAPIを完全に把握し、どのAPIが機微な情報を返すかまで理解していると回答した企業はわずか22%にとどまっています。また、APIのソフトウェア開発ライフサイクルとCI/CDパイプライン全体にセキュリティテストを完全に組み込んでいるのも19%に過ぎません。
経営層と現場の間にも認識の差があります。経営幹部の56%が脅威への備えに自信を示した一方で、現場担当者で同様に回答した割合は44%でした。Akamaiのアジア太平洋および日本地域担当ディレクターであるReuben Koh氏は「AIアプリケーションを強化するAPIが急増し、それが盲点になれば、技術的な分野を超えるリスクの増大につながります」と警鐘を鳴らしています。
コンプライアンス対応にも課題
規制対応の面でも不十分な実態が示されました。多くのAPAC企業がAPIを規制コンプライアンスの要素として認識しているものの、APIをリスク評価に組み込んでいるのは63%、報告要件に反映しているのは40%にとどまります。AI導入が拡大する中、データフローの保護状況を明確に把握できなければ、監視や説明責任に対する要求の高まりに応えることが困難になると調査は指摘しています。
