インターネットは、コンピューター間の果てしない会話の流れである。 これらの会話は

多くの場合、アプリケーション・プログラミング・インターフェース（API）を使って行われ、新しい方法でソフトウェアやアプリと対話することができる。 例えば、OpenAIのChatGPT APIは、Slackがチャットベースのワークフローを合理化し、Booking.comがよりパーソナライズされた旅行計画体験を提供することを可能にする。

今日、APIは他のインターネットトラフィックを凌駕しています、

昨年Cloudflare1が処理したダイナミック・インターネット・トラフィックの半分以上（57%）を占めています。

しかし、この2024年APIセキュリティと管理レポートで検討されているように、APIの管理と悪用からの保護はますます複雑になっています。

目次

       例えば、多くの組織ではAPIに関する正確な情報が不足している。 Cloudflareは、機械学習ベースの発見により、組織が自己申告したものと比較して30.7%多いAPIエンドポイントを発見しました2。

残念ながら、組織は見えないものを適切に防御することはできない。

APIの状況を正確かつリアルタイムに把握することなくAPIセキュリティを実装すると、意図せず正当なトラフィックをブロックしてしまう可能性がある。

2023年にCloudflareが緩和したAPIクライアントのエラーカテゴリの第1位である "too many requests"（429）エラーコードを見てみよう。 429コードが自動的に攻撃者からのリクエストが多すぎることを意味するわけではない。 例えば、エラーの原因となったレート制限が分散型サービス拒否（DDoS）攻撃によって元々導入されていた場合、過度に広範で不正確なレート制限を課すと、依然として正当なユーザーをブロックする可能性がある。 (DDoS防御はCloudflareの顧客にとってAPIミティゲーション手法の第1位であった。）

このレポートの目的は、組織がAPIエンドポイント管理の健全性を総合的に評価するための貴重なベンチマークを提供することである。 結局のところ、APIセキュリティは可視性、パフォーマンス、リスクを管理するためのデータも組み込まなければならない。