APIセキュリティリスクのOWASPトップ3と、その軽減方法は？ ESETが2023年版を発表：APIは脅威アクターのお気に入りの標的

セキュリティ企業のESETが2023年のOWASPトップ3のAPIセキュリティリスクを紹介し、その脅威を軽減する方法を解説した。

[＠IT]

　セキュリティ企業のESETは2023年6月1日（米国時間）、運営するブログサイト「WeLiveSecurity」で「All eyes on APIs: Top 3 API security risks and how to mitigate them」という記事を公開した。本稿では、その要約を記す。

APIセキュリティの脅威はどの程度深刻なのか？

　アプリケーションプログラミングインタフェース（API）は、デジタル革命の縁の下の力持ちだ。新しいユーザー体験を生み出すために、さまざまなソフトウェアコンポーネントを結び付ける役割を果たす。しかし、バックエンドデータベースへの直接パスを提供するので、脅威アクターにとって魅力的な標的でもある。

　最近の調査によると、世界の組織の94％が過去1年間に運用環境でAPIセキュリティの問題を経験しており、そのうち5分の1近く（17％）がAPI関連の侵害に苦しんでいる。

　2023年だけでも、次のような事例があった。T-Mobile USAは、悪意のある攻撃者がAPIを介し、3700万人に上る顧客の個人情報とアカウント情報にアクセスしたことを認めている。また、Booking.comではOpen Authorization（OAuth）実装の設定が間違っており、サイト上で重大なユーザーアカウントの乗っ取り攻撃につながる可能性があった。

　APIの脅威によってリスクにさらされるのは、企業の評判や収益だけではない。半数以上（59％）の組織が、「APIセキュリティの懸念によって、新しいアプリの展開を遅らせなければならなかった」と主張している。これは、現在、取締役会の半数で経営幹部レベルの議論のテーマとなっている理由の一つだ。

「All eyes on APIs: Top 3 API security risks and how to mitigate them | WeLiveSecurity」

2023年、OWASPトップ3のAPIリスク