API

 

インターネットは、コンピューター間の果てしない会話の流れである。これらの会話は

アプリケーション・プログラミング・インターフェース（API）を使って行われることが多く、新しい方法でソフトウェアやアプリと対話することができる。例えば、OpenAIのChatGPT APIは、Slackがチャットベースのワークフローを合理化し、Booking.comがよりパーソナライズされた旅行計画体験を提供することを可能にします。

今日、APIは他のインターネットトラフィックを凌駕しています、

昨年 Cloudflare1 が処理した動的インターネットトラフィックの半分以上（57%）を占めています。

しかし、この2024年APIセキュリティと管理レポートで検討されているように、APIの管理と悪用からの保護はますます複雑になっています。

残念ながら、組織は見えないものを適切に防御することはできない。

APIの状況を正確かつリアルタイムに把握することなくAPIセキュリティを実装している企業は、意図せずに正当なトラフィックをブロックしてしまう可能性がある。

2023年にCloudflareが緩和したAPIクライアントのエラーカテゴリの第1位である「too many requests」（429）エラーコードを見てみよう。429コードが自動的に攻撃者からのリクエストが多すぎることを意味するわけではありません。例えば、エラーの原因となったレート制限が分散型サービス拒否（DDoS）攻撃によって元々設定されていた場合、過度に広範で不正確なレート制限を課すと、依然として正当なユーザーをブロックする可能性があります。(DDoS防御はCloudflareの顧客にとってAPI緩和方法の第1位でした）。

このレポートの目的は、組織がAPIエンドポイント管理の健全性を総合的に評価するための貴重なベンチマークを提供することである。結局のところ、APIセキュリティは可視性、パフォーマンス、リスクを管理するためのデータも組み込まなければならない。