組織が自律型エージェントと生成AIツールを大規模に展開するにつれて、APIは現代のオペレーションのバックボーンとなり、増大する攻撃面をもたらしています。
企業はAIとAPI駆動型アーキテクチャを急速に採用していますが、Salt Securityによる新しいレポートによると、セキュリティはこれに追いついていないことが明らかになっています。
「AIの未来は、私たちのシステムがどれほどインテリジェントになるかだけではなく、どれほど安全に行動することを許可するかによって定義されるでしょう」と、Salt Securityの共同創業者兼CEOであるRoey EliyahuはeSecurityPlanetへのメールで述べています。
彼はさらに、「私たちの2026年上半期の調査では、47%の組織がセキュリティ上の懸念によってAI展開を既に遅延させていることが示されており、これは適切な基盤なしで構築することの代償です」と付け加えています。
レポートからの主な調査結果は、増大するセキュリティギャップを強調しています。
| 調査結果 | 影響 |
| 79%がAIリスクに対する経営幹部の監視の増加を報告しています。 | AIセキュリティは現在、取締役会レベルの問題となっています。 |
| 49%がマシン間トラフィックの可視性を欠いています。 | 組織はAI動作に対して盲目です。 |
| 48%が正当なAIエージェントとボットを区別できません。 | 検出ギャップがリスクを増加させます。 |
| 32%が過去1年間にAPIセキュリティインシデントを経験しました。 | 攻撃は既に発生しています。 |
| 99%の攻撃は認証済みアクセスを使用します。 | 従来のペリメータセキュリティは失敗しています。 |
AI成長がAPIセキュリティを上回っています
これらの調査結果は、急速なイノベーションとそれを保護する能力の間の広がるギャップを指摘しています。
組織がAI導入を加速させるにつれて、多くの組織は増加複雑化する機械駆動型環境を管理するために必要な可視性と制御を欠いています。
組織の49%近くがマシン間トラフィックを効果的に監視できないと報告し、48%は正当なAIエージェントと悪意あるボットを区別するのに苦労しており、検出と対応における重大なブラインドスポットを生み出しています。
APIはAIの実行層になります
同時に、APIはその従来の統合ポイントとしての役割をはるかに超えて進化しました。
このレポートは、APIが現在AIシステムの実行層として機能し、データ取得から自動意思決定まであらゆることを可能にしていることを強調しています。
このシフトは、APIセキュリティを技術上の懸念から戦略的優先事項に昇格させ、APIエコシステム全体にわたるより強力なガバナンス、継続的な監視、および改善された可視性の必要性を強化しています。
API成長が攻撃面を拡大します
この課題は、急速なAPI成長によってさらに複雑になっています。組織のほぼ半数が過去1年間でAPIボリュームが51%増加したと報告しており、これはデジタルトランスフォーメーションとAI導入によって推進されています。
この拡張はイノベーションを促進しますが、攻撃面も増加させます。
その結果、32%の組織が過去12ヶ月間にAPI関連のセキュリティインシデントを経験しており、一般的な問題には機密データ露出、認証失敗、および悪用可能な脆弱性が含まれています。
生成AIは新しいセキュリティリスクをもたらします
生成AIはさらに開発とリスク の両方を加速しています。
組織の69%がAPIを構築するためにAIを使用していますが、60%はコードを生成するAIモデルのセキュリティに対する制御が限定的であると報告しています。
さらに、57%はAI生成コードが新しい脆弱性をもたらすことを懸念しています。
SASTやDASTなどの従来のセキュリティツールは、AI生成ロジックと複雑なAPI相互作用を評価するために必要なコンテキスト認識が不足しているため、このシフトに対応する準備がしばしば整っていません。
攻撃者が認証済みアクセスにシフトしています
一方、攻撃者の行動も同様に急速に進化しています。
外部侵害に依存するのではなく、脅威アクターはますます認証済みアクセスを悪用しています。
レポートでは、攻撃試行の99%が認証済みエンティティからの発信であることが判明しており、これはしばしば侵害されたマシンID、過度な権限を持つAIエージェント、またはハイジャックされた自動ワークフローです。
このトレンドは従来のペリメータベースの防御を損なわせ、継続的な検証と行動監視の必要性を強調しています。
一般的なAPI脆弱性はAIによって増幅されています
これらのインシデントの多くの根底にあるのは、馴染みのあるが今では増幅された、API セキュリティの問題です。
誤設定と認可の欠陥は引き続き支配的なリスクです。
過度に許容的なAPIはAIエージェントに意図しない機密データへのアクセスを付与する可能性があり、オブジェクトレベル認可の破損(BOLA)などの脆弱性はチェーンされたAPI呼び出し全体で悪用され、大規模な攻撃を自動化する可能性があります。
AI駆動型環境では、これらのリスクはスピードとスケールによって増幅されます。
自動化により、攻撃者と侵害されたエージェントの両方がミリ秒単位で行動することが可能になり、小さな脆弱性でも全エンタープライズのインシデントにエスカレートすることができます。
その結果、組織は APIセキュリティを再考する必要があります。静的なレイヤーではなく、自律型システムがどのように動作し相互作用するかを支配する動的制御プレーンとして。
APIセキュリティリスクを軽減する方法
APIエコシステムが拡張し、AI駆動型自動化がエンタープライズ運用にますます深く組み込まれるにつれて、従来のセキュリティアプローチはもはや十分ではありません。
組織は、マシン間の相互作用と自律型動作を考慮に入れた、より積極的で継続的なセキュリティモデルを採用する必要があります。
これには、API活動に対するより大きな可視性だけでなく、開発、ID、およびランタイム環境全体にわたるより強力な制御が必要です。
- 異常な動作とマシン駆動型の脅威を検出するための リアルタイムAPI監視を実装します。
- 動的で自動化されたAPIインベントリを維持してシャドウエンドポイントと文書化されていないエンドポイントを特定します。
- 検証とガードレールを開発パイプラインに埋め込むことでAI生成コードを保護します。
- 強い認証と認可を適用しますマシンID用の最小権限とゼロトラスト原則を使用して。
- 適用行動分析とランタイム保護して悪意あるAIエージェント活動を検出および防止します。
- 管理APIキーとトークンをローテーション、短い有効期間、継続的な使用監視で。
- テストインシデント対応計画そして攻撃シミュレーションツールをAPI攻撃とAI駆動型攻撃のシナリオで使用します。
これらの制御を実装することにより、組織はAPIエコシステムに耐性を構築し、悪用の影響半径を制限することができます。
AIセキュリティにおけるAPIの成長する役割
エージェント型AIの台頭は、組織がエンタープライズセキュリティをどのように考えるかを再形成しており、APIはシステムが通信し動作する方法の基盤としてますます機能するようになっています。
APIが自動化とAI駆動型ワークフローを可能にするためのより中心的な役割を担うようになると、適切に管理されていない場合、それらのセキュリティのギャップはより広いオペレーション上およびデータリスクをもたらす可能性があります。
同時に、効果的なAPIセキュリティはイノベーションの重要な実現者になりつつあります。
最新のAPI中心のセキュリティアプローチに投資する組織は、自信を持ってAIを展開し、開発速度を維持する立場にあります。特に47%の組織がAPIセキュリティ上の懸念により、アプリケーションリリースの遅延を報告しているため。
組織がますます自動化された環境でAPIセキュリティを強化するために取り組むにつれて、多くはゼロトラストソリューションを採用して、ID を継続的に検証し、マシン間の相互作用全体でリスクをより効果的に管理するのに役立てています。
翻訳元: https://www.esecurityplanet.com/threats/api-security-risks-rise-as-ai-adoption-accelerates/
