Cloudflare、最新の「APIセキュリティおよび管理レポート」と「DDoS脅威レポート」を発表

セキュリティに関するお話。

DDoS 攻撃の脅威ということだが、前から言われていることですけれどね。

ただ、ここに来て API 関連のセキュリティに関する問題が、出てきているみたい。

ほとんどは、未対策だと・・では、どうすれば？

Cloudflare、最新の「APIセキュリティおよび管理レポート」と「DDoS脅威レポート」を発表
APIがインターネットトラフィックの大半を占める一方で、そのほとんどにセキュリティ対策が施されていないことが明らかに
Cloudflare

（2024年 1月 9日 太平洋標準時6:00本国発表）
誰もが接続しやすいコネクティビティクラウドのリーディングカンパニーであるCloudflare（クラウドフレア）は、本日、初となる「APIセキュリティおよび管理レポート」を発表しました。本レポートの調査結果によると、今日、企業に最も活用されているサイトやアプリケーションを支えるテクノロジーであるAPIの利用頻度がかつてないほど増えており、それに伴い、これまでに比類ない規模でAPIがオンライン脅威の侵入経路となっていることが明らかになりました。本レポートは、企業・組織によるAPIの利用と、APIで扱われるデータを保護する能力との間にギャップがあることを浮き彫りにしています。

Cloudflare、最新の「APIセキュリティおよび管理レポート」と「DDoS脅威レポート」を発表

APIは現代のデジタル世界の要ともいえるものです。私たちの携帯電話、スマートウォッチ、銀行システム、ショッピングサイトはすべて、APIに依存して通信を行っています。APIは、eコマースサイトの決済を支援したり、医療システムが患者のデータを安全に共有できるようにしたり、タクシーや公共交通機関がリアルタイムの交通データにアクセスできるようにするなど、さまざまな場面で活用されています。現在では、ほぼすべての企業・組織がAPIを使用して、より優れたサイトやアプリケーション、サービスを構築し、消費者に提供しています。しかし、APIが管理されていない、またはAPIにセキュリティ対策が施されていないと、たちまちAPIは脅威アクターが機密情報の発掘に悪用できる金の鉱脈となりうるのです。

Cloudflareの共同創設者兼最高経営責任者（CEO）であるマシュー・プリンス（Matthew Prince）は、「APIは、アプリケーションやWebサイトが動作する際の中心的な役割を担っているため、比較的新しいハッカーの格好の餌食になっています。データ漏洩を防ぎ、ビジネスを保護するためには、企業・組織がすべてのAPIを管理し、保護することが必要不可欠です」と述べています。

Cloudflareの「APIセキュリティおよび管理レポート2024」の主な調査結果は以下の通りです。

• 思いもよらない業界でも、APIトラフィックの量は大幅に増加中

APIによってシームレスな連携が可能になったことから、さまざまな業界でAPIの普及が加速しています。2023年にAPIトラフィックのシェアが最も高かった業界は、IoT、鉄道、バス・タクシー、法務サービス、マルチメディア・ゲーム、物流・サプライチェーンでした。

• APIトラフィックはインターネットトラフィックの大半を占める

APIは、世界中の動的インターネットトラフィックの大部分を占めており（57％）、Cloudflareが保護している各地域のインターネット上でも、過去1年間で利用量が増加しました。特に、2023年にAPIの導入が爆発的に増え、トラフィックシェアが最も高かった地域はアフリカとアジアでした。

• APIは、頻繁に増加する数々の脅威に直面している

重要な機密データを格納している、ビジネスの根幹を担うような機能と同様に、脅威アクターはAPIへのアクセスに必要なあらゆる手段を悪用しようとしています。APIの人気の高まりは同時に攻撃量の増加も引き起こしており、HTTP異常、インジェクション攻撃、ファイルインクルードは、Cloudflareによって軽減された最も一般的な攻撃手法の上位3つとなりました。

• シャドーAPIは、脅威アクターに無防備な侵入経路を提供している

組織は目に見えないものの保護に苦心しています。機械学習によって検出された（APIがソフトウェアプログラムに接続する場合の）API RESTエンドポイントの数を、企業・組織が把握している識別情報と比較すると、機械学習で検出した件数が約31％も多くなりました。つまり、企業・組織は自らが使用しているAPIを完全に把握しきれていないことが明白です。

• DDoS軽減ソリューションは、APIを保護する最も効果的なツールのひとつ

組織がすべてのAPIを完全に可視化しているかどうかに関係なく、DDoS軽減ソリューションは潜在的な脅威をブロックするのに役立ちます。APIの脅威に適用されたすべての軽減策の3分の1（33％）は、すでに導入されているDDoS攻撃対策によってブロックされました。

Enterprise Strategy Group のサイバーセキュリティ担当プラクティスディレクターであるMelinda Marks氏は、「APIは、開発者が顧客、パートナー、従業員の役に立ち、完全な機能を備え、複雑なアプリケーションを作成するために活用される強力なツールですが、各APIは潜在的な攻撃対象となる可能性があります。そのため、それを保護する必要があります。この新しいレポートが示すように、企業・組織は、APIの可視性の向上、接続の安全な承認の確保、アプリケーションを攻撃から守るためのより良い方法を含む、APIセキュリティを強固にするための効果的な方法を必要としているのです」と述べています。

調査方法

本レポートの調査結果に含まれる以上の統計情報は、2022年10月 1日から2023年 8月31日までの間に（Webアプリケーションファイアウォール、DDoS攻撃対策、ボット管理、APIゲートウェイサービスを含む）Cloudflareのグローバルネットワークで確認されたトラフィックパターンに基づいています。2023年 9月30日に終了した四半期時点で、Cloudflareは毎秒平均5,000万件を超えるHTTPリクエストを処理し、毎日平均1,700億件のサイバー脅威をブロックしました。

「APIセキュリティおよび管理レポート」の詳細および「2023Q4 DDoS脅威レポート」の詳細は、以下のリソースをご覧ください。

2024 API Security & Management Report

https://www.cloudflare.com/ja-jp/2024-api-security-management-report/

Introducing Cloudflare’s 2024 API security and management report

https://blog.cloudflare.com/ja-jp/2024-api-security-report-ja-jp/

DDoS threat report for 2023 Q4

https://blog.cloudflare.com/ja-jp/ddos-threat-report-2023-q4-ja-jp/

APIセキュリティとは？

https://www.cloudflare.com/ja-jp/learning/security/api/what-is-api-security/

Cloudflare、最新の「APIセキュリティおよび管理レポート」と「DDoS脅威レポート」を発表

Cloudflare（クラウドフレア）について

Cloudflare, Inc.（NYSE:NET / https://www.cloudflare.com/ja-jp/ ）は、世界中のあらゆる組織や個人、アプリケーション、ネットワークを高速かつ安全にするとともに複雑性やコストの削減を実現する、誰もが接続しやすいコネクティビティクラウドのリーディングカンパニーです。Cloudflareのコネクティビティクラウドは、最もフル機能かつ統一されたクラウドネイティブ製品と開発者ツールプラットフォームを提供し、業務、開発、ビジネスの加速に欠かせないコントロールをあらゆる組織にもたらします。

世界最大規模かつ最も相互接続されているネットワークのひとつであるCloudflareは、日々何十億もの脅威をオンラインでブロックしており、大企業からスタートアップ、中小企業、非営利団体、人道支援団体、政府機関まで、世界中の何百万もの組織から信頼されています。

Cloudflareのコネクティビティクラウドの詳細については  https://www.cloudflare.com/ja-jp/connectivity-cloud/ 、インターネットの最新トレンドとインサイトについては https://radar.cloudflare.com をご覧ください。

Follow us:

Blog   https://blog.cloudflare.com/

X   https://twitter.com/cloudflare

LinkedIn   https://www.linkedin.com/company/cloudflare/

Facebook   https://www.facebook.com/Cloudflare/

Instagram   https://www.instagram.com/cloudflare

将来予想に関する記述

本プレスリリースには、将来予想に関する記述（1933年米国証券法第27A条および1934年米国証券取引所法21E条（いずれもその後の改正を含む）に該当）があり、それらには重大なリスクおよび不確定要因が含まれています。将来予想に関する記述は、「場合があります」、「つもりです、するでしょう」、「はずです」、「見込まれます」、「可能性を探ります」、「する計画です」、「予想します」、「かもしれません」、「意図しています」、「目標とします」、「見積ります」、「検討します」、「考えます」、「推測します」、「予測します」、「潜在的」、「引き続き」、またはそれらの否定表現、あるいは当社の予想、戦略、計画、または意図に関わるその他同様の用語もしくは表現によって識別することができます。しかし、すべての将来予想に関する記述にこうした語句が含まれているわけではありません。本プレスリリースにて明示または黙示されている将来予想に関する記述には、Cloudflareの製品と技術、Cloudflareの技術開発、将来の事業展開、成長、イニシアチブ、戦略、今後の市場動向、CEOのコメントに関する記述を含みますが、それらに限定はされません。当社が2023年11月2日に米国証券取引委員会（SEC）に提出した四半期報告書（フォーム10-Q）や当社がSECに随時提出するその他の文書で詳説するリスク（ただしこれらに限定はされない）をはじめ、さまざまな要因によって、上記の将来予想に関する記述で明示または黙示した結果と実際の結果との間に重大な相違が生じる可能性があります。

本プレスリリースに含まれる将来予想に関する記述は、あくまで記述当日現在の事象についてのみ言及しています。Cloudflareは、法律で義務付けられた場合を除き、本プレスリリースの日付以降の事象や状況を反映するために、あるいは新しい情報や予期しない事象の発生を反映するために、将来予想に関する記述を更新する義務を負いません。Cloudflareが将来予想に関する記述で開示した計画、意図、予想は実際に実行・達成されない場合があるため、Cloudflareの将来予想に関する記述に過剰に依存すべきではありません。

©2024 Cloudflare, Inc. All rights reserved. Cloudflare、Cloudflareのロゴ、およびその他のCloudflareのマークは、米国およびその他の法域におけるCloudflare, Inc. の商標や登録商標です。本書に記載されているその他の商標および名称は、各所有者の商標である可能性があります。

以上

こういった問題は、減るどころか、どうやら今後もどんどん増えていく傾向にあるみたい。

いい加減にしてほしいと思うが、どうにもなりませんねぇ。

困ったことです。

minorus

電子機器が大好きです。
プログラムを書くのをお仕事としていたこともあるので、両方できる PIC や Arduino を使って、いろいろな（役にあんまり立たない）ものを作っています。
実は UNIX 関連のお仕事も長かったので、Raspberry Pi もお手の物なのですけれど、これから触る機会が多くなるのかなぁ。
ボチボチ行きますが、お付き合いください。
若いころの写真なので、現時点では、まだ髪の毛は黒くてありますが、お髭は真っ白になりました。
愛車の国鉄特急カラーのカスタムしたリトルカブで、時々、秋月電子通商の八潮店に出没します。