SecurityWeekのCyber Insights 2026では、今後12か月にわたるサイバーセキュリティの関心領域(十数分野以上)について、予想される進化に関する専門家の見解を検証します。私たちは数百人の個別の専門家に話を聞き、その見解を得ました。ここでは、アプリケーション・プログラミング・インターフェース(API)のセキュリティ確保を取り上げ、現在起きていることを評価し、2026年以降に待ち受けるものに向けてサイバーセキュリティチームを備えさせることを目的とします。
アプリケーション・プログラミング・インターフェース(API)は、接続されたサイバー世界の運用に不可欠です。「APIは現代技術の結合組織となっており、私たちのデジタル世界全体の一部です」と、Black Duckのシニア・サイバーセキュリティ・ソリューション・アーキテクトであるChrissa Constantineは説明します。「最近の推計では、インターネットトラフィックのおよそ83%がAPIを経由して流れているとされており、APIが私たちのデジタル生活に深く結び付いていることを示しています。」
Cequence SecurityのCISOであるRandolph Barrは、「多くの意味で、2026年はAPIが『単なる配信メカニズム』からデジタルビジネスの運用基盤へと移行する段階を示すでしょう。特に、エージェント型AIと収益化の要請がますます支配的になる世界では」と付け加えます。
これほど遍在し重要なものは、サイバー攻撃を引き寄せます。2024年7月、Akamaiは2024年6月だけでAPIを標的とした260億件の攻撃を監視しました。これは2023年第1四半期から2024年第1四半期にかけて49%増加した流れの一部です。
問題はここからです。2026年には、状況ははるかに悪化します――そしてその主因はエージェント型AIです。
拡大するAPI攻撃対象領域
API攻撃が増加する主な理由は、APIの数、そしてそれらがどこでどのように使われるかが新たに急増することです。「私たちはいま、新たなAPIブームに入りつつあります。前回の波はクラウド導入、モバイルアプリ、マイクロサービスが牽引しました。いまはAIエージェントの台頭が、APIの急速な増殖を促しています。これらのシステムは、企業アプリケーションやクラウドサービス全体にわたり、膨大で動的かつ予測不能なリクエストを生成するからです」と、CurityのCTOであるJacob Ideskogは述べます。
企業におけるエージェント型AIの利用のブームは、APIの増殖においてさらに大きなブームを生み出しています。
InvictiのCEOであるNeil Rosemanは、「エージェント型AI――自律的な推論とタスク実行が可能なAIシステム――の台頭により、利用されるAPIの数が増えています。各エージェントは、データにアクセスし、ワークフローを起動し、アプリケーション間で相互作用するためにAPIを必要とします。これにより新たな課題が生じます。棚卸しが難しい動的生成API、隠れたAI同士の通信、モデル統合を通じた機微データ露出リスクの増大です。その結果、従来のセキュリティツールでは追随できない、より大きく不安定な攻撃対象領域が生まれます」と付け加えます。
企業はAIの自律的な力を活用しようと急いでおり、しばしば拙速で理解が不十分です。
Barrはさらに詳しく説明します。「APIを求めるビジネスの圧力は強まっています。従来の人手を介したやり取り――たとえばコールセンター、支店訪問、手作業のワークフロー――は、小売、銀行、その他の業界がAI対応の体験を収益化しようと競争する中で、自動化された常時稼働サービスに置き換えられています。つまりAPIはもはや社内の糊ではなく、価値が流れる経路となり、ビジネスロジック層が露出し、スケールし、収益化されるのです。」
エージェント型AIシステムの利用拡大と、それらが自律的に行動し意思決定してワークフローを起動するやり方が、稼働するAPIの数を膨張させています。 「単に『請求APIを1つ公開する』という話ではありません」と彼は続けます。「いまや、LLMやAIエージェントにデータを供給するAPI、AIエージェントからの判断を受け付けるAPI、サービスやマイクロアプリ間のオーケストレーションを促進するAPI、そして(自律的なスケジューリング、調達、製品構成を通じて)『エージェント型』エンドポイントを露出し得るAPIが、何十個も存在します。」
各AIエージェントは暗黙のうちに新たなAPI(ツール、サービス、データコネクタ)を導入し、攻撃対象領域を増幅させます。「要するに」と彼は言います。「APIは水平方向(エンドポイント増加)、垂直方向(より重要なビジネスロジック)、そして文脈的(AI/エージェントのフローに組み込まれる)に成長しているのです。」
この急速な数と複雑性の増大の影響として、Permisoの共同創業者兼共同CEOであるPaul Nguyenは、組織がインベントリ管理を失うようになると示唆します。「2026年までに、多くの企業は基本的な問いに答えられなくなるでしょう。APIエンドポイントはいくつ存在するのか? いくつのAPIクレデンシャルが使用されているのか? 各クレデンシャルにはどの権限があるのか? 最後にローテーションしたのはいつか? この可視性の欠如が重大なセキュリティリスクになります。」
2026年のAPI攻撃
「APIはユーザーとビジネスロジックを結ぶ最も直接的なリンクです。攻撃者は、弱い認証、ビジネスロジックの欠陥、誤設定が、機微データへの直通経路を開き得ることを知っています」とRosemanは警告します。「一方で、シャドーAPI――文書化されていない、忘れ去られた、または誤設定のエンドポイント――は増え続け、組織は攻撃対象領域の大部分を把握できないままです。その結果、APIはいまやWebベース攻撃の最重要標的になっています。」
Barrは、より速く、より安く、AIファーストでAIを展開しようとする急ぎ足の中で、敵対者の優位が拡大し、レガシーな前提によってさらに悪化すると付け加えます。「多くの組織は、既存のWebアプリケーションファイアウォール(WAF)、コンテンツ配信ネットワーク(CDN)、またはAPIゲートウェイで十分だと考えています。しかし、APIセキュリティは、特にAPIがビジネスロジックや自律エージェントのワークフローを体現する場合、より深い行動分析と文脈認識の制御が必要です。」
AIの攻撃対象領域は3つの明確な層にまたがり、それぞれに特化した防御が必要だと、IEEEメンバーでAI倫理エンジニアのEleanor Watsonは説明します。「データ/モデル層では、敵対者は学習データセットを汚染し、検索用コーパスにバックドアを注入し、モデルの完全性を損ないます。プロンプト / ツール層では、攻撃者は脱獄(jailbreak)を仕掛け、文書やWebサイトを介した間接的プロンプトインジェクションを実行し、ツール利用チェーンを操作します。」
そして「API / システム層では、モデル抽出、ポリシーのクローン、連鎖したツール呼び出しによるAPI悪用、コードモデルを用いた多態性マルウェア生成などが脅威になります。」
2024年にAnthropicが導入したModel Context Protocol(MCP)は、特に懸念を呼んでいます。「2024年11月にMCPを公開して以来、採用は急速に進みました。コミュニティは数千のMCPサーバーを構築し、主要なプログラミング言語すべてでSDKが利用可能で、業界はエージェントをツールやデータに接続するための事実上の標準としてMCPを採用しました」と、Anthropicは2025年11月4日に熱を込めて述べました。
しかしMCPは生産性上の利点をもたらした一方で、APIセキュリティ上の問題にも影響し、シャドーMCPの増加――すなわち、ITやセキュリティチームの監督、正式承認、あるいは存在の把握すらないまま従業員が展開するMCPサーバー――によって悪化しています。
Radwareのサイバー脅威インテリジェンス担当VPであるPascal Geenensは、「2026年には、MCPサーバー、A2Aエンドポイント、能力プラグインをホストするリポジトリが主要な標的になります。NPM、PyPI、Docker Hubが汚染パッケージ配布に悪用されたのと同様に、MCPレジストリやエージェント・マーケットプレイスには、トロイの木馬化されたサービスマニフェストや悪意あるコンテキストプロバイダが侵入してくるでしょう」と警告します。
MitigaのCOOで、元イスラエル国防軍8200部隊のサイバー部門大佐であるAriel Parnesは警告します。「次の大規模なクラウド規模の侵害は、誤設定されたバケットから始まるのではなく、MCP APIから始まるでしょう。組織がAIアシスタントを企業データに接続するにつれ、これらの新しいAPI層は予測不能な形で機微なシステムを露出させます。MCPの悪用は2026年、SaaS、AI、データ流出キャンペーンを結び付ける中心的な攻撃ベクトルとして台頭します。多くの企業はいまだ、この拡大する統合レイヤーを保護するために必要な可視性と制御の課題を欠いています。」
攻撃者は、SalesforceおよびSalesloftの事案でOAuthとサードパーティアプリのトークンを悪用しました。「同じ脅威パターンがいま、AIエコシステムでも現れています。AIエージェントやMCPベースのシステムがサードパーティAPIやクラウドサービスとますます統合されるにつれ、OAuthの最弱リンク――過剰に許可されたスコープ、不明確な失効ポリシー、隠れたデータ共有経路――を引き継いでしまいます」と、Netskopeのクラウド脅威リサーチャーであるGianpietro Cutoloは警告します。
「これらの統合は、サプライチェーン攻撃やデータ流出攻撃の主要標的になります。侵害されたコネクタや汚染されたツールにより、敵対者は信頼されたAIプラットフォームと企業環境をまたいで、気付かれないまま横展開できるようになります。」
要するに、「エージェント型AIは、APIスプロール(管理されていない、またはシャドーなAPIエンドポイントが多すぎ、ガバナンスが不十分)、プロンプトインジェクションとコンテキスト汚染(攻撃者がAPI経由でAI入力を操作)、そして連鎖API攻撃(AIエージェントを悪用して、相互接続されたAPIやシステムへとピボットする)といった新たなリスクをもたらします」と、Black DuckのConstantineは述べます。
Bedrock SecurityのCSOでIANS Researchの教員でもあるGeorge Gerchowは、MCPサーバーをセキュリティ・ポスチャ・マネジメント(SPM)サーバーに置き換えることを推奨します。「SPMとMCPサーバーは、AIセキュリティにおいて根本的に異なるが補完的な目的を果たします」と彼は説明します。「MCPサーバーは能力を有効化するAIシステムの構成要素である一方、SPMはMCPサーバーを含むシステム全体を監視し保護する包括的なセキュリティ戦略です。」
2026年、API攻撃にAIが活用される
APIは長年にわたり主要な攻撃対象領域でした――問題は継続しています。2025年に始まり、2026年以降にかけて加速する企業のエージェント型AI導入の急拡大は、APIの数を増やし、攻撃対象領域を拡大させます。それだけでも、2026年にAPIへの攻撃が増えることを示唆します。
しかし攻撃そのものも、敵対者が自らのエージェント型AIを用いることでスケールし、より効果的になります。Barrは説明します。「エージェント型AIにより、悪意ある者は偵察を自動化し、APIエンドポイントを探り、API呼び出しを連鎖させ、ビジネスロジック悪用を試し、機械規模でキャンペーンを実行できます。APIエンドポイント、特にセルフサービスで制約の少ないものを握ることは、極めて収益性の高い標的になります。そしてAIはペイロードを生成し、素早く反復し、単純なヒューリスティックを回避し、API間の依存関係をマッピングできます。」
さらに彼は続けます。「APIがAI/エージェントのフローを支える以上、攻撃者はエージェントとAPIの接点を狙う可能性があります。たとえば、AIエージェントに意図しない方法で脆弱なAPIを呼び出させたり、エージェントをだまして特権的なAPIアクセスを露出させたりするのです。」
過去には、APIがユーザーデータへアクセスするためにどの経路を使うかを突き止めるには、攻撃者に相当な推測が必要でした。いまや、Intigritiのチーフ・ハッカー・オフィサーであるInti De Ceukelaireは、「AIはAPIとそのパラメータがどのような形になるかを予測するのが特に得意です。いまでは、これらの経路はおそらく数分で発見できるでしょう」と説明します。
「攻撃側のユースケースとしては」とConstantineは続けます。「敵対者がAIを武器化し、API列挙、ファジング、クレデンシャルスタッフィングを大規模に自動化することが含まれます。生成モデルは、フィルタを回避し正当なユーザー行動を模倣する、現実味のあるAPIリクエストを作成できます。」
MomentumのCTO兼共同創業者であるMoiz Viraniは、「新たなAPIの問題が出てきています」と付け加えます。「特にセキュリティ面では、エージェント間(A2A)通信の脆弱性があり、侵害されたエージェントがそのアクセス権を使ってAPI経由で他のエージェントやシステムを攻撃できる可能性があります。さらに、自律エージェントが生成するAPI呼び出しの量と速度が非常に大きいため、レート制限、悪用検知、詳細なログ記録/監査の管理が、より複雑になります。」
2026年のAPI戦場は熾烈になるでしょう。敵対的なAI利用は、従来のAPIであれ新たに導入されたMCP/エージェント型APIであれ、あらゆる企業APIを標的にします。後者の場合、侵害が成功した際の影響は劇的になり得ます。
AI時代のAPIセキュリティ
今後数年、APIへの攻撃によってセキュリティ脅威が増大する中で、APIを保護する取り組みは強まる可能性が高いでしょう。APIセキュリティは不可能ではありませんが、私たちはまだ成功していません。2026年には、企業のエージェント型AIアプリケーションの展開が、敵対者の攻撃対象領域を拡大させると同時に、悪用の影響をより劇的なものにします。
De Ceukelaireは警告します。「APIを攻撃や悪用から守る方法はいくつもあります。アプリケーションがより複雑に進化するにつれて、安全性を保つには相当な投資が必要になります。将来、より良く保護されるようになるかは確信できません。というのも、主に企業のAIエージェントが利用する形でAPIを開放すると、セキュリティの責任がAPI自体ではなくエージェント側へ移ってしまう可能性があるからです。」
Cequence SecurityのBarrは、「APIは確実に保護できますが、Webアプリケーション向けに設計されたレガシーツールでは不十分です。次世代のAPI保護は、継続的な可視性、行動分析、文脈駆動のアクセス、インテリジェントな自動化、そして開発者ネイティブなテストを組み合わせなければなりません」と述べます。「攻撃者はいま、正当なAPI呼び出しに悪意あるシーケンスを混ぜ込み、ビジネスロジックを突いたりエージェント型ワークフローを悪用したりします。防御側は、通常のAPI利用をプロファイルして逸脱を検知するリアルタイムの行動分析を用いる必要があります。たとえば、AIエージェントが突然、反復的なデータ流出呼び出しを行ったり、セッショントークンが無関係な取引間で再利用されたりする場合です。これらのランタイム分析により、防御側は侵害へ発展する前に微妙な悪用を察知できます。」
InvictiのRosemanは、「APIは保護できますが、成功は可視性から始まります。存在を知らないものは守れません」と付け加えます。「最新のAppSecテストプラットフォームは、APIの発見と脆弱性テストに対して多層的なアプローチを提供します。発見は、ランタイムスキャン、API管理との統合、ソースコードリポジトリのマイニング、そしてF5、NGINX、Cloudflareのようなインターネット向けプロキシ技術を横断した本番ネットワークトラフィック分析を重ね合わせることで実現されます。
「発見後は」と彼は続けます。「動的アプリケーションセキュリティテスト(DAST)エンジンが、到達可能で悪用可能な脆弱性を検証します。対象には、OWASP Top 10 APIリスク、BOLAやBFLAのような一般的なAPIビジネスロジック欠陥、弱い認証によるシークレット漏えい、そしてSQLインジェクションやプロンプトインジェクションといった従来のWebアプリの弱点が含まれます。」
複雑ですが、多層防御によって実現可能です。「APIはアイデンティティ・ガバナンスによって保護できますが、技術的なハードニングだけでは不十分です」とPermisoのNguyenは示唆します。「セキュリティモデルには、使用中のすべてのAPIクレデンシャルの包括的な発見、権限の適正化(各クレデンシャルは実際に必要な権限のみを持つ)、行動監視(クレデンシャルが異常に使用された際のアラート)、そして迅速な対応能力(侵害されたクレデンシャルの失効)が必要です。」
最後に
APIセキュリティは実現可能ですが、まだ実現できていません。この問題は2026年に深刻化します。RadwareのGeenensは、「APIはデジタルインフラの中で最も価値が高く、最も脆弱な要素になるでしょう」と警告します。「AIエージェントが独立してデータを交換し行動を実行し始めると、APIトラフィックは人間の監督を超えて急増し、悪用の新たな経路が露出します。この拡大により、API管理はセキュリティ戦略の中心へ押し上げられるでしょう。」
問題はAPIに固有のものではありません――人工知能時代の大きな難題の一部です。企業はビジネス効率向上のためにAIを開発・展開し、一方で攻撃者は攻撃効率向上のために(しばしば同じ)AIを開発・展開します。双方が有効であるため、サイバーセキュリティ防御側は、悪意ある者のAIから企業AIを守るために追加のAIを開発・展開せざるを得ず、その結果、同時に攻撃対象領域をさらに拡大させてしまいます。
それは終わりのない攻防のサイクルの一部です。Plus ça change, plus c’est la même chose.
翻訳元: https://www.securityweek.com/cyber-insights-2026-api-security/
