Cloudflareの最新レポートから、APIのサイバーセキュリティリスクの特定と管理に対する組織の攻防が明らかに
Cloudflareの最新レポートから、APIのサイバーセキュリティリスクの特定と管理に対する組織の攻防が明らかに
APIがインターネットトラフィックの大部分を占めている一方で、そのほとんどにセキュリティ対策が施されていない状況がインサイトから判明
APIがインターネットトラフィックの大部分を占めている一方で、そのほとんどにセキュリティ対策が施されていない状況がインサイトから判明
2024年1月9日、カリフォルニア州サンフランシスコ– 誰もが接続しやすいコネクティビティクラウドのリーディングカンパニーであるCloudflare, Inc.(NYSE: NET)は本日、初のAPIセキュリティおよび管理レポートを発表しました。今年のレポートの調査結果によれば、企業にとって今日最も利用されているサイトやアプリを支えるテクノロジーともいえるAPIの利用頻度がこれまで以上に増えており、それに伴い、かつてないほどの規模で、APIがオンライン脅威のつけ入る要因となっていることが明らかになりました。このレポートは、組織によるAPIの利用と、そうしたAPIで扱われるデータを保護する能力との間にギャップがあることを浮き彫りにしています。
APIは現代のデジタル世界の要ともいえるものです。私たちが使用する携帯電話、スマートウォッチ、銀行システム、ショッピングサイトは、すべてAPIに依存して通信しています。APIは、eコマースサイトの決済を支援したり、医療システムが患者データを安全に共有できるようにしたり、タクシーや公共交通機関がリアルタイムの交通データにアクセスできるようにしたりするなど、さまざまな場面で使われています。現在では、ほぼすべての企業がAPIを使用して、より優れたサイト、アプリ、サービスを構築し、消費者に提供しています。しかし、APIを管理していない、またはAPIにセキュリティ対策が施されていないと、有用であるはずのAPIは脅威アクターが機密情報の「発掘」に悪用できる金の鉱脈となりうるのです。
CloudflareのCEO兼共同創設者であるマシュー・プリンスは次のように述べています。「APIはアプリケーションやWebサイトの動作の中心的な役割を担っているため、これらは比較的新しいハッカーの豊富な標的となっています。データ漏洩を防ぎ、ビジネスを保護するためには、企業がすべてのAPIを特定して保護することが必要不可欠です」
Cloudflareの2024年APIセキュリティおよび管理レポートの主な調査結果をご覧ください。
- 思いもしない業界でも、APIトラフィックの量は大幅に増加しています: APIによりシームレスな連携が可能になったことから、さまざまな業界でAPIの普及が加速し、他の組織を先回りするように導入を急ぐ企業も存在します。2023年にAPIトラフィックのシェアが最も高かった業界は、IoT、鉄道、バスとタクシー、法務サービス、マルチメディアとゲーム、物流とサプライチェーンでした。
- APIのトラフィックはインターネットトラフィックの大半を占めています: APIは世界中の動的インターネットトラフィックで優位を占めており(57%)、Cloudflareが保護する各地域でも、過去1年間で利用量が増加しました。しかし、2023年にAPIの導入が爆発的に増え、トラフィックシェアが最も高かった上位の地域はアフリカとアジアでした。
- APIは、頻繁に増加する数々の脅威に直面しています: 機密データを格納する一般的なビジネスクリティカルな機能と同様に、脅威アクターはアクセスに必要なあらゆる手段を悪用しようとします。APIの人気の高まりは、攻撃量の増加も引き起こしており、HTTP異常、インジェクション攻撃、ファイルインクルージョンは、Cloudflareによって軽減された最も一般的な攻撃タイプのトップ3となりました。
- シャドウAPIは、脅威アクターに無防備な進入路を提供します: 組織は目に「見えないもの」の保護に苦心しています。機械学習によって検出されたAPI RESTエンドポイント(APIがソフトウェアプログラムと接続する場合)の数を、顧客から得た識別情報と比較すると、機械学習で検出した件数が約31%も多くなりました。つまり、組織ではAPIを完全に把握しきれていないことは明白です。
- DDoS軽減ソリューションは、APIを保護する最も効果的なツールの1つです: 組織がすべてのAPIを完全に可視化しているかどうかに関係なく、DDoS軽減ソリューションは潜在的な脅威をブロックするのに役立ちます。APIの脅威に適用されたすべての軽減策の3分の1(33%)は、すでに導入されているDDoS攻撃対策によってブロックされました。
Enterprise Strategy Group 社のサイバーセキュリティ担当プラクティスディレクターであるMelinda Marks氏は、「APIは、開発者が顧客、パートナー、従業員に役立つ完全な機能を備えた複雑なアプリケーションを作成するための強力なツールですが、各APIは潜在的な攻撃対象領域となる可能性があり、それを保護する必要があります。この新しいレポートが示すように、組織は、APIの可視性の向上、安全な承認と接続間の承認を確保する方法、アプリケーションを攻撃から保護するためのより良い方法を含む、APIセキュリティに対処するためのより効果的な方法を必要としています」と述べています。
レポート方法: このレポートの調査結果に含まれる上述の統計情報は、2022年10月1日から2023年8月31日までの間にCloudflareのグローバルネットワーク(CloudflareのWebアプリケーションファイアウォール、DDoS攻撃対策、ボット管理、APIゲートウェイサービスを含む)で確認されたトラフィックパターンをもとにしています。2023年9月30日に終了した四半期時点で、Cloudflareは毎秒平均5,000万件を超えるHTTPリクエストを処理し、毎日平均1,700億件のサイバー脅威をブロックしました。
詳細は、以下のリソースをご覧ください。
- 2024年APIセキュリティおよび管理レポート
- ブログ:Cloudflare「2024年APIセキュリティおよび管理レポート」のご紹介
- Cloudflare APIセキュリティ
- APIセキュリティとは?
Cloudflareについて
Cloudflare, Inc.(NYSE:NET)は、世界中のあらゆる組織や個人、アプリケーション、ネットワークを高速かつ安全にするとともに複雑性やコストの削減を実現する、誰もが接続しやすいコネクティビティクラウドのリーディングカンパニーです。Cloudflareのコネクティビティクラウドは、最もフル機能かつ統一されたクラウドネイティブ製品と開発者ツールプラットフォームを提供し、業務、開発、ビジネスの加速に欠かせないコントロールをあらゆる組織にもたらします。
世界最大級で相互接続数も最多級のネットワークを誇るCloudflareは、お客様のために日々何十億件ものオンライン脅威をブロックしています。大手企業、起業家、小企業、非営利団体、人権団体、政府機関まで、世界中で数百万に上る組織から信頼をお寄せいただいています。
Cloudflareのコネクティビティクラウドの詳細についてはcloudflare.com/connectivity-cloud、インターネットの最新トレンドとインサイトについては、https://radar.cloudflare.comをご覧ください。
フォロー:ブログ | X | LinkedIn | Facebook | Instagram
将来予想に関する記述
本プレスリリースには、将来予想に関する記述(1933年米国証券法第27A条および1934年米国証券取引所法21E条(いずれもその後の改正を含む)に該当)があり、それらには重大なリスクおよび不確定要因が含まれています。将来予想に関する記述は、「場合があります」、「つもりです、するでしょう」、「はずです」、「見込まれます」、「可能性を探ります」、「する計画です」、「予想します」、「かもしれません」、「意図しています」、「目標とします」、「見積ります」、「検討します」、「考えます」、「推測します」、「予測します」、「潜在的」、「引き続き」、またはそれらの否定表現、あるいは当社の予想、戦略、計画、または意図に関わるその他同様の用語もしくは表現によって識別することができます。しかし、すべての将来予想に関する記述にこうした語句が含まれているわけではありません。本プレスリリースにて明示または黙示されている将来予想に関する記述には、Cloudflareの製品と技術、Cloudflareの技術開発、将来の事業展開、成長、イニシアチブ、戦略、今後の市場動向、CEOのコメントに関する記述を含みますが、それらに限定はされません。当社が2023年11月2日に米国証券取引委員会(SEC)に提出した四半期報告書(フォーム10-Q)や当社がSECに随時提出するその他の文書で詳説するリスク(ただしこれらに限定はされない)をはじめ、さまざまな要因によって、上記の将来予想に関する記述で明示または黙示した結果と実際の結果との間に重大な相違が生じる可能性があります。
本プレスリリースに含まれる将来予想に関する記述は、あくまで記述当日現在の事象についてのみ言及しています。Cloudflareは、法律で義務付けられた場合を除き、本プレスリリースの日付以降の事象や状況を反映するために、あるいは新しい情報や予期しない事象の発生を反映するために、将来予想に関する記述を更新する義務を負いません。Cloudflareが将来予想に関する記述で開示した計画、意図、予想は実際に実行・達成されない場合があるため、Cloudflareの将来予想に関する記述に過剰に依存すべきではありません。
© 2024 Cloudflare,Inc. All rights reserved. Cloudflare、Cloudflareのロゴ、およびその他のCloudflareのマークは、米国およびその他の法域におけるCloudflare, Inc. の商標や登録商標です。本書に記載されているその他の商標および名称は、各所有者の商標である可能性があります。