F5は9月24日、AIの導入拡大によりAPIへの脅威の状況がどのように変化しているか検証するため、日本を含むアジア太平洋地域(APAC)の企業・組織を対象に行った調査「2025年の戦略的要件:エージェント型AI時代のAPIセキュリティ」の結果を発表した。その概要は以下のとおり。
現在、APACの企業・組織の80%以上がAPIを使用してAIおよび機械学習モデルを導入・運用している。人間をはるかに上回るスピードで自律的にタスクを実行するエージェント型AI環境が広がる中で、かつては単純なデータコネクタだったAPIは重要性が増している。一方で、充分なセキュリティ対策がなければ、権限の不整合やガバナンスの不備により、想定しないアクションが実行されるリスクがある。
調査によると、日本の企業・組織の50%以上(APAC全体では63%)がビジネス継続性、コンプライアンス、AI導入によるビジネス変革において、APIセキュリティを「非常に重要である」と認識している。
それにもかかわらず、対策では遅れが目立ち、ツール、プロセス、スキルの面で「十分に対策できている」企業は各項目で21〜32%、「APIセキュリティの専任部門がある」企業はわずか15%で、認識と実態の間に大きな隔たりがあった。APAC全体では、42%の企業・組織が十分なAPIガバナンス機能を報告している一方、APIセキュリティ専任チームがあるのは22%にとどまっている。
このような状況下では、一貫性のあるセキュリティ対策が実施されず、監視の致命的な抜け・漏れへとつながり、企業・組織が業務とコンプライアンスの両面で大きなリスクを抱えることになる。
レポートでは、日本企業にみられるAPIセキュリティの具体的なリスクとして、以下の点を挙げている。
◎ディスカバリー(検知)の管理は分散し、リスクを把握できていない:42%の企業・組織が、自社のディスカバリー能力を「ほとんど有効でない」と評価しており、シャドーAPIやゾンビAPI、コンプライアンスに関わるAPIの可視性が制限されている。
◎ポスチャー管理はリスクとの整合性を欠いている:仕様やライフサイクル管理を強力に適用できていると答えた企業・組織は14~20%にとどまり、API設計と現実のリスク対応との間にギャップが残っている。
◎アクセス管理は十分に機能していない:OAuthやアプリ間連携の制御は14~16%しか有効に機能しておらず、回答者の3分の1以上が懸念を示しているにもかかわらず、十分な実効性が得られていない。
◎ランタイム防御は自律型の脅威に対して脆弱:回答者の25%が機械学習による検知やポリシーの実行がほとんど効果を発揮していないと報告しており、リアルタイムでのエージェント型活動に対してギャップが生じるリスクがある。
◎テストは本番前にとどまり、実際の脅威を捉えられていない:本番環境でトラフィックやクローラーベースのスキャンを実施している企業は25%未満にとどまり、不正挙動や新たに露出したAPIの検知能力は弱い状況にある。
◎監視が強まる中、コンプライアンス遵守は遅れがち:国際規制やプライバシー義務をAPI経由で確実に実行できると自信を持つ企業は20%未満で、潜在的な規制リスクが残る。
エージェント型AIの5つの戦略的必須事項
AI変革の取り組みを頓挫させかねないガバナンスのギャップに対処するために、F5は日本企業が次の5つの戦略的要件に取り組むことを提言している。
◎専任のAPI管理責任部門立ち上げとライフサイクル全体に対する権限付与:責任の分散は管理性を弱める。設計から運用まで、ディスカバリー、アクセス、監視、ガバナンスを統合的に管理するクロスファンクショナルなAPIセキュリティチームを設置することが重要。
◎リアルタイムの検知・検査・アクセス制御の実現:静的なインベントリーや境界防御だけでは不十分。コード解析、トラフィック監視、クローラーによる継続的なディスカバリーを実施し、機械学習ベースのランタイム検知やきめ細かいIDベースのアクセス制御を適用することで、エージェント型AIの活動を権限内の活動に留めるべく監視する。
◎リアルタイムかつAIネイティブな実行を支えるアーキテクチャへの刷新:スケーラブルでイベントドリブンのエージェント動作を可能にするため、ストリーミングフレームワークやクラウドネイティブ設計を採用する必要がある。APIはAIおよび機械学習サービスをモジュール型インテリジェンスとしてホスト・オーケストレーションできるよう構築されなければならない。
◎ガバナンスを強化し、信頼性・追跡性・倫理的ガードレールを確保する:すべてのエージェント対応APIは、完全な監査ログ、意思決定の経路追跡、そして人間の介入を組み込んだプロトコルをサポートする必要がある。ガバナンスは性能やセキュリティにとどまらず、信頼性と監督の領域まで拡張されるべき。
◎API可視化やセキュリティの高度化こそ、日本のAI競争力のカギ:安全でガバナンスの効いたAPIがなければ、エージェント型AIの自律性はむしろリスクとなる。APIレイヤーを強化しなければ、AIの導入拡大に伴いシステム全体が危険にさらされる可能性がある。
関連リンク