March 21, 2023 – API は 20 年以上前に利用が始まった仕組みで、昨今では大企業の場合 15,000 から 25,000 の API を利用していると考えられる。API は、利用拡大とともにサイバー攻撃を受けるアタック・サーフェス(攻撃侵入経路)とも認識されるようになったが、現実には、API がどのような機能を持ち、どのバージョンがどこで利用されているか把握できていない企業が大多数だと思われる。API は、アプリケーション開発チームの大きな味方であるが、潜在的に大きな脆弱性をもたらす問題児である。
本レポートは、CISO に API セキュリティの概要を理解頂くための入門書として、また API を提供するベンダーには、これまでにない視点を提供することを目指した。執筆にあたっては、2022 年 12 月から 2023 年 3 月にかけ、イスラエル/英国/米国の API セキュリティ・ベンダーへのヒアリングとデモを依頼することで、API セキュリティ市場の概要を把握するとともに、製品を分類するための考え方を確認した。加えて、デスクリサーチにより各種ホワイト・ペーパー/ API セキュリティ標準/各種刊行物なども参照した。
弊社 Cybersecurity service をご契約のお客様は、本レポートをダウンロード頂けます。
本稿では、42Crunch, Aiculus Pty Ltd., Akamai Technologies, Akana, Akto.io, APIIDA AG, Apiiro Ltd., APImetrics. APIsec, Appdome Inc., Arkose Labs, Axway, BalaSys, Barracuda Networks, Beagle Security, Bionic, BLST Security, Boomi, Cequence Security, Check Point Technologies, Checkmarx Ltd., Cloud Security Alliance, Cloudflare, CloudVector, Continent 8 Technologies, Contrast Security, Corsha, Inc., CriticalBlue Ltd., Crosscheck Networks, Curity, Datadog, Data Theorem Inc., Elastic Beam, Entersoft Security, eXate, F5, Fastly, FireTail, Forum Systems, Ghost Security Inc., Google, Gravitee.io, Hellman & Friedman, Impart Security Inc., Imperva, Indusface, Inigo Labs Inc., Kong Inc., L7 Defense, Micro Focus International PLC, Microsoft, Moesif, MuleSoft LLC, National Institute of Standards and Technology, Neosec, Nevatech Inc., Noname Security, Okta, Open Web Application Security Project, Orca Security Ltd., Palo Alto Networks, Pangea Cyber, Perforce Software, Ping Identity, Postman, Radware, Rapid7, Reblaze, Red Hat, Resurface Labs, Salesforce, Salt Security, Seekret, SmartBear Software, Software AG, Spherical Defence, StackHawk Inc., Synopsys, TeejLab Inc., ThreatX, Tinfoil Security, Tyk Technologies Ltd., Traceable AI, Veracode, Wallarm, Wib, WSO2 に言及しています。