2023年6月20日火曜日

APIセキュリティ


 課題と戦略。この先駆的な研究の第 5 版では、セキュリティ、DevOps、リスク管理チームに、API セキュリティに影響を与える多数の要因についてのより深い視点を提供します。また、増大する API 攻撃対象領域を削減する戦略の構築に関する洞察も提供します。
以前の版と同様に、このレポートには、顧客の API メタデータをホストする Salt SaaS プラットフォームからの調査結果と実証データが組み込まれています。今年は、Salt Labs による示唆に富む API 脆弱性調査もいくつか取り上げました。調査回答者によって指摘された API セキュリティ上の懸念の一部が、現実のシナリオでどのように現れるかを示しています。
2023 年第 1 四半期のレポートで最も驚くべき発見は、回答者の 94% が過去 1 年間に実稼働 API でセキュリティ上の問題を経験しており、17% が API 関連の侵害を経験しているということでした。 Salt の顧客データから得られたもう 1 つの重要な発見は、攻撃者がペースを上げており、6 か月前の同じ期間に比べて固有の攻撃者の数が 400% 増加していることです。 2023 年に API セキュリティがセキュリティ専門家にとって重要な焦点になることにほとんど疑問の余地はありません。
攻撃者はまた、攻撃を標的とする新たな予期せぬ方法を発見しています。これまで組織は、API と対話するための適切な認証が攻撃者を他の場所に送り込むのに十分な抑止力になると信じていました。 Salt Labs のデータによると、攻撃の 78% は一見正当なユーザーからのものですが、実際には悪意を持って適切な認証を達成した攻撃者です。さらに、攻撃者は内部 API をターゲットにしており、攻撃の 8% はこれらの十分に保護されているはずの資産に対して行われました。
調査回答者はまた、API セキュリティが組織にとって主要なビジネス問題になっていると指摘しています。 59% が、API で特定されたセキュリティ問題が原因でアプリケーションのロールアウトの遅延を経験しています。アプリケーションのロールアウトの問題は必然的にビジネスの中断を引き起こし、警告を発します。
すべてのレベル。また、API セキュリティ侵害が非常にニュース価値のあるものになっているため、調査回答者の 48% が API セキュリティは現在経営幹部レベルの議論になっていると答えたのも不思議ではありません。
回答者は、運用 API で経験した最大のセキュリティ問題の 1 つとして脆弱性を特定しました。 41% がそのような API の脆弱性を経験したと述べていますが、Salt Labs の調査では、この数字が大幅に過小評価されていることが示唆されています。 Salt Labs は調査の 90% で API セキュリティの脆弱性を特定しており、そのうちの 50% は重大であるとみなされる必要があります。
API にはさまざまな課題がありますが、API のセキュリティ慣行はまだ成熟し続けています。調査回答者は主に、WAF、API ゲートウェイ、ログ ファイルの分析など、API セキュリティに対する従来のアプローチに依存していますが、これらの方法が非常に効果的であると感じているのは 23% のみです。したがって、自社の API セキュリティ プログラムが先進的であると信じているのは回答者の 12% のみで、30% がそのようなプログラムは存在しないか、計画中であると回答していることは驚くべきことではありません。
完全な API インベントリを持っていると確信している回答者はわずか 19% であったため、ドキュメントの作成は組織にとって依然として課題となっています。この分野における課題の 1 つは API 更新の頻度です。組織の 37% は少なくとも毎週 API を更新しています。同様に、どの API が PII データを公開しているかを理解していると確信しているのは 18% のみです。
API はあらゆる最新アプリケーションの中核であり、攻撃者は前例のない速度で攻撃を続けています。アンケートの回答と Salt の顧客データは、組織が API の保護に真剣に取り組む時期が来たことを圧倒的に示しています。
研究方法
今日の API セキュリティの状態を理解するために、Salt Security の API 脅威調査部門である Salt Labs は、この API セキュリティ業界レポートを作成し、まとめました。当社の綿密な調査は、Salt Security の顧客からのアンケート回答と経験的データを組み合わせたものです。この調査結果は、世界中のさまざまな業界の大小さまざまな企業のセキュリティ、DevOps、アプリ開発の専門家 400 人近くの意見を反映しています (19 ページ)。 Salt Labs は、Salt Security API Protection Platform の SaaS コンポーネントから集約および匿名化されたデータも取得します。この経験的データは、調査回答結果にさらなるコンテキストを与えます。
  

時刻:
ラベル:

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)
  • リスクマネジメント
      取締役会は、組織の最も重要なリスクの評価をサポートできる、組織の価値チェーンの包括的な視覚的プレゼンテーションを受け取ることを期待する必要があります。 リスク状況をよりよく理解するために、取締役会はまず、戦略的および運用上の価値推進要因と、組織の生産に影響を与える可能性のある...
  • 持続可能性
      主なメッセージ • 南アジアは、気候変動の脅威と、貧困削減、天然資源管理、社会的平等などの既存の開発課題の両方に直面しています。 • 南アジアの脆弱なコミュニティにおけるコミュニティベースの適応イニシアチブは、多面的かつ総合的なアプローチの例です。 • 南アジアの草の根の対応...
  • セキュリティ
      ISO 27001:業界特有の課題、業界特有のソリューション。 どの企業もセキュリティリスクに直面していますが、ISO 27001の影響は業種によって異なります。 各業界における主な情報セキュリティリスクは何でしょうか。 ISO 27001は、どのように体系的なアプローチでそ...
  • 持続可能性
     ▶️ 世界的な産業や経済の変化が進む中、資源の利用方法や価値の作り方が変わっています。この変化は、自然の法則や地球の限界に基づいています。ケンブリッジ大学のサステイナビリティリーダーシップ研究所の最新レポートでは、民間企業が地政学的な不安定さを乗り越えつつ、持続可能性を進めるた...
  • 再生可能エネルギー
     国際社会は、脱炭素化が困難なセクターを急速に脱炭素化することで、今世紀の世界平均気温の上昇を産業革命前の1.5℃に抑えるシナリオの達成を目指している。 アラブ首長国連邦のドバイで開催された2023年の国連気候変動会議(COP28)では、2030年までに再生可能エネルギー容量を3...