今日の攻撃面はエンドポイントからAPIにシフトしており、AIとサードパーティSaaSがこの問題を悪化させています。CISOはAPI防御についてアドバイスを提供します。
最近の侵害は、攻撃者が従来のエンドポイントを超えて、アプリケーションプログラミングインターフェース(API)をターゲットにシフトしていることを示唆しています。しかし、典型的なペリメーター保護はこのベクトルを完全に見落とす可能性があります。
「私たちは以前、防御の深さとエンドポイント保護について話していました」と、全国信用組合であるBECUのCISOであるSean Murphyは言います。「それはアイデンティティに変わり、今やAPIが新しいペリメーターです。」
BECUのバックエンドアーキテクチャはマイクロサービスとAPIに大きく基づいており、これは保護するための重要で拡大する表面です。「それらはあなたのフロントドアであり、あなたがAPIのインベントリを知らなければ、攻撃者は確実にそれらを見つけます。」
APIファースト開発の台頭により、APIポートフォリオは大規模企業全体で静かに増大しています。保守的な推定では、大企業内のAPI数の平均は250~500個ですが、企業が数千個を実行することは珍しくありません。
これらの有用なインターフェースはしばしば、バックエンドシステム、パートナー、顧客データを接続します。しかし、それらへのアクセスはしばしば統治されておらず、不安全であるか、または設定不備です。Salt Securityからの2025年レポートは、ほぼ3社に1社が過去12ヶ月間にAPI侵害を経験したことを発見しました。また、95%の攻撃は認証されたソースからのものであり、盗まれたAPIキーまたは認証情報を使用していることが多いとも発見しました。
エンドポイント検知対応(EDR)やウェブアプリケーションファイアウォール(WAF)などの従来のセキュリティアプローチは、ビジネスロジック悪用を検知するために必要なコンテキストが不足しているため、これらの攻撃を見落とすことがしばしばあります。これらのシステムでは、API悪用は通常、有効なトラフィックのように見えます。
「EDRとWAFは昨日の問題のために構築されました:エンドポイント上のマルウェアと基本的なウェブエクスプロイト」と、再保険会社Fortitude ReのCIOであるElliott Franklinは言います。「ビジネスロジックとアイデンティティコンテキストの深い理解がなければ、従来のツールは認証情報詰め込み、トークン盗難、またはデータスクレイピングを見逃します。」
CISOは、大規模な問題に対応するには、新しいツール、プラクティス、ガバナンスフレームワークが必要だと述べています。また、エージェントAIでのAPI使用を中心とした明日の問題に対応するために、アイデンティティを認識したシフトが必要です。
APIが新しい攻撃面
APIはインターネットトラフィックの大部分を駆動しており、サイバー犯罪者はこれを利用しています。2024年のOptus侵害では、APIアクセス制御の不備により、攻撃者は900万人の顧客記録を露出させました。過去2年間、API エクスプロイトはWhatsApp、Trello、23andMe、Avelo Airlines、およびVolkswagenにも影響を与えています。
これらの脅威により、多くのCISOがAPIを主要な攻撃面と見なしています。「APIは現代の企業にとって最も重要で急速に拡大している攻撃面となっています」と、ITサービス企業Infinite Computer SolutionsのグローバルCISOおよび副社長であるSenthil Subramaniamは言います。「多くのAPIセキュリティインシデントは、インジェクション攻撃や認可の破損などの欠陥から発生します。」
エクスプロイト増加の主な要因は、APIの遍在性であり、現在はSaaSプラットフォーム、クラウドワークロード、内部アプリケーションをリンクする企業全体の結合組織として機能しています。「その遍在性は、攻撃者にとって自然な焦点を作成します」と、Fortitude ReのFranklinは言います。
APIのオープンさと機密データおよび重要なシステムへの近接性も、攻撃者にとって魅力的です。「APIは確実に今日の主要な攻撃面の1つになっています」と、James Faxon(Risk & Insight Groupの主任顧問、および以前はサイバーセキュリティ人材開発企業NukuDoのCISO)は言います。「多くの環境では、APIはエンドポイントがこれまでであったよりも、ビジネスシステムへのはるかに直接的なパスを表しています。」
「攻撃者がレバレッジを得るためにラップトップを侵害したりマルウェアを展開する必要はありません」とFaxonは付け加えます。彼が説明するように、単にトークンを取得するだけで、攻撃者は設定不備またはフローの認可ロジックを悪用して横方向に移動し、従来のエンドポイント制御をトリガーすることなくデータを抽出する可能性があります。
さらに悪いことに、多くの組織は適切なAPIインベントリを欠いており、APIが通常の監視外に落ちるのを簡単にしています。エンタープライズ管理アソシエイツからの2023年の研究は、約70%の企業がそのAPIの30%だけをドキュメント化していることを発見しました。その数字には、通常のセキュリティガバナンス外のシャドウAPIは含まれていません。
「ほとんどのチームは、APIがどのように舞台裏で機能しているかについて、明確な可視性を持っていません」とクラウドセキュリティ企業Gigamonのチーフ AIおよびセキュリティオフィサーであるChaim Mazalは言います。APIがどのように通信し、どのデータを公開するかについて明確に理解しなければ、開発者は無意識のうちに悪用可能な攻撃パスを作成する可能性があります。
他の人々はAI駆動型シフトの中で緊急性の高まりを見ています。「APIはまだ主要な攻撃面ではないかもしれませんが、最近の年では緊急性がより高まっています」と、インテリジェント製造およびサプライチェーンソリューションのプロバイダーであるKörberのCISOであるAndreas Gaetjeは言います。彼はハイパーオートメーションとエージェントAIがAPIセキュリティをより緊急にすることに注目しています。
それでも、報告されたAPIセキュリティインシデントの数は、認証情報盗難、フィッシング、エンドポイント侵害よりも重いわけではない、とMark Dorsi(クラウドコンピューティング企業NetlifyのCISO)は注目しています。しかし、自律システムがより高い価値の機能を獲得するにつれて、脅威レベルは変化しています。
「エージェントシステムがModel Context Protocolを含むAPI、エージェント間ワークフロー、および自動統合を通じてますますサービスと相互作用するため、APIは使用と露出の両方で実質的な上昇を見るでしょう」とDorsiは言います。
レガシー防御は追い付くことができません
従来のペリメーターベースの防御は、しばしばAPI層の攻撃に対して不十分です。EDR、XDR、WAFなどの従来のセキュリティ防御は、「主にクライアント、ハードウェア、ソフトウェアエンドポイントに焦点を当て、IPベースの攻撃ベクトルを見ています」とBECUのMurphyは説明します。「APIは私たちをビジネスロジックとランタイムタイプの問題の世界に連れています。」
他の人々は、レガシー防御がAPIファースト アーキテクチャのギャップを残していることに同意しています。たとえば、EDRは東西トラフィック、APIフロー内のコンテンツ、およびゲートウェイレベルの攻撃を見逃し、WAFは主に悪意のあるペイロードパターンを検知して、認可、アイデンティティ、および呼び出し側の意図に関する重要なコンテキストを見逃しますと、Infinite Computer SolutionsのSubramaniamは言います。
「API攻撃はしばしばビジネスロジックを悪用し、ペイロードパターンではなく」と彼は付け加えます。「彼らは認証または認可の破損、正当なエンドポイントの悪用、過度なデータ露出、および大量列挙を悪用しています。」これらのリクエストは個別には有効に見えるかもしれませんが、一緒に悪意のあるシーケンスを形成します。
「API攻撃は通常、盗まれたまたは過度に許可された認証情報でなされた論理的で有効なリクエストであり、HTTPルールを破るのではなくビジネスロジックを悪用しています」とRisk & Insight GroupのFaxonは言います。たとえば、攻撃者は金融APIの長寿命で過度に許可されたトークンを悪用する可能性があります。「API悪用はしばしば通常のトラフィックにブレンドされるまで、ダメージが既に完了する」と彼は付け加えています。
NetlifyのDorsiは同意します。「従来のコントロールはAPI呼び出し全体の意図、誤用、または悪用を理解するのにコンテキストが不足しています」と彼は言います。
CISOがどのように対応しているか
CISOはAPI脅威を軽減するために様々な戦略を展開しています。これは新しいクラウドネイティブツールを購入する以上のことが必要です—組織全体のポリシー、APIインベントリ、自動チェック、および強力なアイデンティティとアクセス制御を含むAPIガバナンス戦略が必要です。
たとえば、BECUはAPIガバナンス構造を実装し、すべての開発者向けの単一のポリシーを採用しています。「私たちはテクノロジーが活用される前にガバナンスを構築し始めました」とMurphyは説明します。これは設定不備のリスクを低減するために重要です。設定不備はOWASP トップ10 APIセキュリティリスクにおける主要なリスクのままです。
大企業では、共有されたセキュリティガイダンスは最小限の特権アクセスを維持し、内部シークレットの露出を回避するのに役立ちます。すべてのエンジニアとAPIビルダーはBECUの内部ポリシーに従っていますが、Murphyが付け加えるように、それは継続的に進化しています。
「強力なAPIガバナンスが鍵です」とFranklinに同意しています。「Fortitude Reでは、APIセキュリティをより広いアイデンティティとアクセス管理戦略に構築しています。」焦点の主な領域は非人間アイデンティティの追跡であり、使用中のAPIをインベントリおよび分類するのに役立ちます。「私が見ている最大のギャップはシャドウAPIです」と彼は付け加えています。
そのリスクを削減するために、可視性は重要です。KörberのGaetjeは、露出されたAPIをカタログ化することで可視性を高めるための積極的な措置を取ることを推奨しています。「最も重要なアクティビティは、露出されたAPIへの可視性を獲得することです」と彼は言います。「あなたが見ることができないものは、制御することができません。」
Faxonの場合、セキュリティはどのAPIが存在し、誰がそれらを所有し、どのデータを公開するかの完全なインベントリから始まります。「最も効果的な組織はAPIをファーストクラスのセキュリティアセットとして扱っています」と彼は言います。
実際には、全体的なAPIガバナンスの実装には、複数のツールと開発者タッチポイントが含まれます。Infinite Computer Solutionsはトラフィック処理用の特殊なAPIゲートウェイを使用し、リスク評価を実行するための高度なセキュリティ機能を採用しています。Subramaniamは言います。
「私たちのセキュリティツールはCI/CDパイプラインにも埋め込まれています」と彼は付け加え、APIスペシフィケーションはセキュリティ基準への準拠を確保するのに役立つ自動化されたセキュリティ検証チェックをパスする必要があることに注目しています。
Dorsiは、Netlifyがどのようにサーバーが使用されるかを理解するための規律あるアプローチを取ることを説明し、スコープの制限、認証情報の回転、および信頼の継続的な再評価などのプラクティスを通じた強力な認可の成熟を強調しています。
「私たちはAPIを単なる配管ではなく、重要なインフラストラクチャとして扱っています」と彼は言います。「強力なアイデンティティと認可の設計は基礎的なものです。それは明示的な所有権モデル、最小限の特権スコープ、およびAPI全体の一貫した認証パターンを意味しています。」
全体的に、CISOはAPIセキュリティが深い先見性が必要であることを示しています。「私たちはAPIを単なるソフトウェアスタックではなく、運用表面の一部として扱っています」とFaxonは言います。「私たちが構築するすべてのAPIは、ドキュメント化され、脅威モデリングされ、所有されており、最小限の特権アクセスがデフォルトであり、システムが進化するにつれて権限は継続的に再評価されます。」
AIが既存のリスクを悪化させる
今日のAPI脆弱性の別のドライバーはAIの台頭です。大規模言語モデル(LLM)とコーディングアシスタントはソフトウェアエンジニアに力を与えますが、彼らは敵にも力を与え、APIセキュリティランドスケープを複雑にし、従来のエンドポイント防御を超えた新しいアプローチを必要とします。
「AIは脅威ランドスケープを根本的に再構成しています」とGigamonのMazalは言います。「AIは攻撃的ツールの民主化を可能にしており、スキルレベルに関わらず、誰もが1行のコードを書かずにAPI脆弱性を悪用できるようになりました。」成長するAPI攻撃面とより低い障壁により、組織はブリーチ姿勢を想定すべきだと彼は付け加えています。
たとえば、AIは、設定不備またはパーミッション過度などのAPI脆弱性を発見および悪用する能力を増幅する可能性があります。Murphyは言います。この現実はBECUに、その全体APIカタログを発見および追跡するための監視ツールを展開し、API可視性のための意図的なアプローチを取ることを促しました。
BECUのポリシーの別の要素は、開発者が強制セキュリティ制御を伴うサンクション化されたAPIゲートウェイを使用することを要求します。「私たちは敵がどんな形でも私たちを悪用するのをできるだけ困難にします」とMurphyは言い、彼らはAPIタイプに関わらずアイデンティティとアクセス制御、監視、およびアラーティングを適用していることを付け加えています。
「内部はいかなる外部敵も外部敵がアクセスできないことを意味しません」とMurphyは付け加えます。そのため、BECUはすべてのAPI、バックエンドシステム間通信に使用される内部APIであるか、モバイルバンキングアプリでの顧客相互作用に力を与える外部向きのAPIであるかに関わらず、すべてのAPIに用心しています。
外部の脅威を増幅する以上に、AIはますますエンタープライズソフトウェアスタックに埋め込まれており、カバーする新しいベクトルを紹介しています。Software Finderからの2025年の研究は、ITリーダーの56%が2030年までにソフトウェアスタックがAIで駆動されると予想していることを発見しました。エージェントAIがAPIを消費し始めると、不正アクセスおよび意図しない機密データ露出のリスクも上昇します。
Subramaniamが説明するように、「AIエージェントシステムは、タスクを実行するためにAPIに自律的にアクセスし、APIセキュリティを増加する攻撃面の拡張、動的で予測不可能な相互作用を可能にする、および高速で自動化されたアクション通じて既存の脆弱性を増幅することで複雑にしています。」エージェントによる不正アクセスを防止するには、より粒状な制御とより時間に制限されたロールベースアクセス制御(RBAC)が必要になります。
サードパーティツール使用の保護
他のAPIリスクはより広いソフトウェアサプライチェーンから発生します。2025年に、JPMorganChase CISOのPatrick Opetは、SaaSプロバイダーの低下する基準についての公開書簡を発表し、SaaS配信モデルが「静かにサイバー攻撃者を有効にしている」と述べ、「グローバル経済システムを弱体化させている「実質的な脆弱性を作成しています。」
サードパーティAPI消費は、組織を機密データ露出に開く可能性があります。Gartnerによると、71%の組織はSaaSベンダーなどのサードパーティが提供するAPIを使用しており、サードパーティAPIを別の主要なリスクベクトルにしています。
「サードパーティAPIについて、私たちはすでにベンダーセキュリティレビューと契約上のセキュリティ保証を要求しています」とFortitude ReのFranklinは言い、これはSaaSセキュリティプログラムの一部であることを注目し、従業員が使用するSaaSシステムへの可視性を提供しています。
しかし、負担はまた、SaaSプラットフォームへのAPI接続を保護するために、より良いトークン処理プロセスを実装するのに消費組織にあります。これは特に重要です。開発者はしばしばAPI キーとシークレットで無分別になりますので。2024年に、Escapeは18,000のAPIシークレットとトークンがオープンウェブ上に浮かんでいることを発見しました。
一部のCISOは積極的にこれに対処しています。「私たちのチームはAPIキー、トークンなどのすべてのサードパーティ認証情報をAPI管理層内で一元化および暗号化しています」とSubramaniamは言います。「私たちは内部開発チームに生の認証情報を配布することはありません。」
安全な統合を維持するには、継続的な規律も必要です。「私たちはサードパーティAPIに同じ厳密さを適用します:認証情報は厳密にスコープされ、定期的に回転され、動作的なドリフトについて監視されています」とFaxonは付け加えています。「統合が期待されたパターン外で動作し始める場合、それは技術的な異常ではなく、セキュリティイベントとして扱われます。」
Murphyの場合、サードパーティAPIギャップを回避するには、慎重なベンダー評価とツーリング決定が必要です。「あなたは信頼しますが、検証します。」同じ意図がAPIに管理ツールを評価することにも適用される必要があります。太多くのニッチ製品を維持すると複雑性が増加し、スケーラビリティの課題をもたらし、一貫したAPIセキュリティビューを取得するためにそれらを一緒に接合する必要があります。
「複雑性が多く、監視が多く異なっているほど、リスクは高くなり、あなたは台無しにするつもりです」とMurphyは言います。「しかし、プラットフォーム内の多様性は良いことでもあります。コンパートメント化はセキュリティ監視への段階的な側面に役立つ可能性があるため。」BECUの2026年のロードマップの1つの上位項目は、露出管理プラットフォーム、脆弱性管理プラットフォーム、およびセキュリティオペレーションセンター間の自動化です。彼は付け加えます。
API基準は進化する必要があります
APIが現代的なビジネス運用のコアアスペクトになると、セキュリティリスクはより顕著になっています。「すべてのAPI設定不備は単なるセキュリティギャップではありません」とFaxonは言います。「それは人間の監視なしに機械速度で実行されている企業決定です。」
この新しい脅威の時代に対応するには、従来のペリメーター防御を超えて移動する必要があります。組織は非人間アイデンティティを保護するための新しいアプローチが必要になります—システムとデータにビジネスアプリケーションレベルで相互作用するマシン、ボット、エージェント。
「本当のシフトはエンドポイントからAPIへのシフトではありません」とFranklinは言います。「それは人間が駆動されたアクセスから、API、サービスアカウント、マシン間接続などの非人間アイデンティティへのシフトです。」彼が付け加えるように、これらのアイデンティティは今ほとんどの企業内の人間を上回っていますが、彼らは厳格なガバナンスを欠いており、この新しい攻撃面を保護するために再考が必要です。
チャレンジは、APIの環境の多様性によってさらに複雑になっています。APIは複数のクラウド、プラットフォーム、場所全体に分散されており、それぞれが異なるセキュリティ制御を有しています。Mazalが説明するように、「チャレンジは、開発が加速し、イノベーションペースが増加するにつれて、すべてのAPIが同じセットの制御に従わないことです。」
たとえば、エッジベースのIoT APIは、集中環境で発見されたのと同じ種類のトラフィック強制を許さないかもしれません。「相互接続のギャップは、API全体でAPIをホリスティックかつ一貫して管理することを困難にする。」彼の場合、リアルタイムの脅威監視とネットワークテレメトリの可視性は、可視性ギャップを修正するために依然として必要です。
最終的に、CISOは従来のセキュリティツールを放棄すべきではありません。しかし、彼らはセキュリティを開発とデザインプロセスの深くに拡張し、早期にチェックを埋め込み、アイデンティティベースの認可を強化し、ビジネス層相互作用へのリアルタイム可視性を改善する必要があります。
ガバナンス、アイデンティティ制御、および可視性を組み合わせることにより、CISOはAPI駆動の世界のセキュリティ現実に適切に準備することができます。
