Noname Security の調査では、サイバーセキュリティの専門家の 74% が完全な API インベントリを持っていないか、どの API が機密データを返すかを知らないことも示されています。
Noname Security の CTO 兼共同創設者である Shay Levi 氏は、次のように述べています。私たちの調査では、インシデントの多さ、可視性の低さ、API 環境の効果的な監視とテスト、および現在のツールが攻撃を防ぐという見当違いの信頼の間の断絶が浮き彫りになりました。 これは、API セキュリティ テストの現実に関するセキュリティ、AppSec、および開発チームのさらなるトレーニングの必要性を強調しています。“
他の結果の中でも、回答者の 71% が、十分な API 保護があることに自信があり、満足しています。 回答者の半数未満 (48%) が、有効な API のセキュリティ体制を可視化しています。
回答者のわずか 11% が、乱用のリアルタイムの兆候について API をテストしており、39% は 1 日に 1 回未満、最大で 1 週間に 1 回テストしています。 回答者の 67% は、DAST および SAST ツールで API をテストできると確信しています。
興味深い地理的な違いがいくつかあります。米国 (24%) と比較して、英国の回答者 (28%) は、API の完全なインベントリを持ち、どの API が機密データを返すかを知っている可能性が高くなります。 ただし、米国では 44% が API の完全なインベントリを可視化していますが、どれが機密データを返しているのかわかりません。英国では 38% です。 これは、米国の組織が既存の API を保護することよりも、API 主導の成長に関心があることを示唆している傾向があります。
チーム間でもばらつきがあります。CISO の 81% が API 関連のセキュリティ インシデントを経験したと報告しているのに対し、AppSec プロフェッショナルでは 53% にすぎません。 さらに、CIO の 58% が API セキュリティ ソリューションのスケーリングは容易であると答えていますが、AppSec 回答者の 3 分の 1 近く (29%) は難しいと答えています。
出典:ノーネームセキュリティ
あなたも?
この研究は関連性があると思いますか?
社内ではどうですか?
も参照してください:
過去 1 年間に 94% の企業が本番 API でセキュリティの問題を経験し、20% の企業がデータ侵害につながったと述べています
Salt Security によると、API 攻撃は過去 12 か月で 681% 増加し、この期間に企業の 95% で API インシデントが発生しました。
シノプシスによると、組織の 73% が Log4Shell、SolarWinds、および Kaseya に続いて、ソフトウェア サプライ チェーンのセキュリティへの取り組みを大幅に強化しました。