ブログ

Jul 13, 2023

Google: クラウドには API とセキュリティの問題が伴う

Robert Lemos | 27 dicembre 2022 Le interfacce di programmazione delle applicazioni Web (API) sono

ロバート・レモス | 2022 年 12 月 27 日

Web アプリケーション プログラミング インターフェイス (API) はクラウド アプリケーションとインフラストラクチャを結び付ける接着剤ですが、これらのエンドポイントはますます攻撃にさらされており、企業の半数が過去 12 か月間で API 関連のセキュリティ インシデントを認めています。

Google Cloud が実施した調査によると、企業の API 使用に影響を与える最も厄介なセキュリティ問題は、セキュリティの設定ミス、古い API とコンポーネント、スパムやボットの悪用です。企業の 40% が設定ミスと 3 番目の対処法によるインシデントに苦しんでいます。後の 2 つの問題については。

企業の 3 分の 2 (67%) がテスト段階で API 関連のセキュリティ問題と脆弱性を発見しましたが、60% 以上のほとんどの企業は、ソフトウェア開発プロセス中、アプリケーションの展開中、およびリアルタイム監視の使用によって問題を発見しました。 500人以上のテクノロジーリーダーを対象とした調査によると。

Google Cloud のビジネス アプリケーション プラットフォーム製品責任者である Vikas Anand 氏によると、これらの問題にもかかわらず、4 分の 3 以上 (77%) が問題を発見できると自信を持っており、必要な API ツールとソリューションを持っていると述べています。

「証拠と一致しない既存のツールに対する信頼感があります」とアナンド氏は言います。 「セキュリティをめぐる状況は変わりました。API 量の劇的な増加により、API はアプリケーション セキュリティの新たな戦場となっています。」

コロナウイルスのパンデミックによるビジネスの中断を受けて、企業が過去 2 年間にわたってデジタル変革を加速する中で、Web API への関心が高まっています。 Google がテクノロジー リーダー 770 名を対象とした第 2 回調査で調査した企業のほぼすべて (93%) が、自社の業務が「ほぼクラウド」に基づいていると特徴付けており、2 年前の 83% から増加しました。

対照的に、自社の業務を「ほとんどがオンプレミス」であると特徴づける経営上の意思決定者は、同じ期間に 16% から 7% に半減しました。

ある試算によると、2020 年以降、API 関連のセキュリティ インシデントによる損失は 120 億ドルから 230 億ドルに上ります。そして攻撃対象領域は拡大しており、平均的な大企業の API の数は 15,600 で、1 年前の 3 倍です。

Google によると、調査対象の組織の 46% は API の使用を自社の組織内のみに限定していましたが、半数以上 (54%) がサードパーティの開発を促進する手段としてパートナー、顧客、その他の外部開発者に API の使用を許可していることが判明しました。

「API は、アプリケーションのモダナイゼーションとデジタル変革にとって極めて重要です。API は、マイクロサービスとともに、開発とメンテナンスのコストを削減しながら、新しいエクスペリエンスを顧客に迅速に提供できるからです」と Google Cloud は「デジタル クランチの時代: 2022 年の現状」で述べています。 API とアプリケーション」レポート。

Google Cloud の 2 番目のレポート「API」によると、API はデジタル変革に不可欠であるため、企業は API セキュリティへの投資を賢明に優先順位付けしており、60% がセキュリティの脅威をプロアクティブに特定する能力の向上を目指しており、57% がセキュリティの自動化とオーケストレーションをさらに導入しています。セキュリティ: 最新の洞察と主要な傾向。」

また、約半数の企業は、欠陥の発見と攻撃の検出を改善するために、API サーバーのリアルタイム監視と人工知能および機械学習 (AI/ML) システムの使用を拡大する予定です。

「組織がこうした脅威への対応から積極的に対処するようになるにつれて、セキュリティ ツール内で AI/ML モデルがより広く採用されるようになるでしょう」とアナンド氏は言います。 「ML ベースのルールはこれの自然な進化であり、単に自動化するだけでなく、それらの経験から継続的に学習します。」

当然のことながら、API の使用経験が豊富な企業は、よりクラウドネイティブな運用への移行でもより多くの成功を収めています。

約 3 分の 1 (34%) の企業は、API に対して成熟したアプローチをとっており、組織全体で API ファースト戦略を推進し、API 管理プラットフォームを使用していると分類しています。 また、これらの企業は、API の成熟度が低い組織と比較して、効率の向上、コラボレーションの向上、俊敏性の向上により多くの成功を収めています。

Google Cloud では、成熟度の低い組織を、API がサイロ化されており、API の一元管理がなく、おそらくセキュリティのための API ゲートウェイを備えている組織と定義しました。

ベンダーによれば、「私たちの調査では、成熟した API 組織は、成熟度の低い API 組織と比較して、デジタル変革の取り組みにおいてかなり進んでいることがわかりました。」 「テクノロジーリーダーは、API がもたらす価値をすでに理解しています。」

Google のレポートによると、API ベースのアプリケーション インフラストラクチャに移行する企業にとって、API セキュリティは API プログラムの最も重要なコンポーネントであると考えられており、66% の企業が API セキュリティを重要であると考えています。 その他の最大の懸念事項には、API パフォーマンス分析と API ガバナンスが含まれていました。

「API セキュリティは最終的には、全体的なエンドツーエンドのセキュリティ戦略の一部である必要があります」とアナンド氏は言います。 「すべてのセキュリティ製品間のシームレスな統合により、ポートフォリオから全体的なセキュリティ価値を容易に強化できます。」

姉妹サイト Dark Reading で全文をお読みください。

テキスト形式の詳細