AI関連API攻撃が最多、日本企業は高額被害
今回の調査は、中国、インド、日本、シンガポールのサイバーセキュリティに関する意思決定者640人を対象に実施されました。回答者の約43%が、アプリケーション、エージェント、大規模言語モデル(LLM)などのAI技術に関連するAPI攻撃を最も一般的なインシデントの種類として挙げています。
APIセキュリティインシデントによる金銭的被害は深刻であり、特に日本では1件あたりの平均被害額が159万米ドル(約2億4,600万円)に達し、過去最高を記録しました。シンガポールでの平均133万米ドルと比較しても高額です。また、インドの企業では約93%、シンガポールの企業では約90%が過去1年間にAPIセキュリティインシデントを経験したと報告しています。
企業がAI対応サービスを急速に展開する一方で、APIの監視、管理、保護が困難になる傾向にあり、サービスの中断、データの漏えい、運用コストの増加といったリスクが増大しています。Akamai Technologiesのアジア太平洋および日本地域のDirector of Security Technology & StrategyであるReuben Koh氏は、「APACの組織はAIの利用を急速に拡大しているが、その成長を支えるセキュリティ基盤の多くは、必要な堅牢性を備えていないのが実情だ」と指摘しています。さらに、「AIアプリケーションを強化するAPIが急増し、それが盲点になれば、技術的な分野を超えるリスクの増大につながる」と述べ、APIセキュリティを信頼できるAIシステムを構築する際の中核的な要素として扱うべきだと強調しています。
セキュリティ対策と認識のギャップ
調査結果は、セキュリティへの注力と実際の対策状況との間にギャップがあることも示しています。回答者の約72%がAPIセキュリティへの注力度が前年より増したと回答しているものの、APIソフトウェア開発ライフサイクルとCI/CDパイプライン全体にセキュリティテストが完全に組み込まれていると答えたのは約19%にとどまっています。
また、経営幹部の回答者の約56%が脅威に対して十分に準備ができている、または完璧に準備ができていると答えているのに対し、現場の回答者で同様の回答をした割合は約44%に留まっています。この認識の乖離は、AI主導のサービスがコアビジネス業務に深く組み込まれるようになった際にリスクを高める要因となる可能性があります。
可視性とコンプライアンスの重要性
APACの回答者のほとんどが、組織がAPIを規制コンプライアンス要件の要素としていると回答していますが、実際にAPIをリスク評価に組み込んでいるのは約63%、報告要件に組み込んでいるのは約40%に過ぎません。このことは、多くの企業が運用上の明確さを裏付けるための取り組みを十分に行っていない可能性を示唆しています。
APIの可視性が弱いことは、セキュリティ問題だけでなく、AIコンプライアンスの課題にもつながります。どのようなAPIが存在し、機微な情報を公開するAPIはどれか、またそれらのデータフローがどのように保護されているかを明確に把握できなければ、AI導入の規模拡大に伴い、企業は監視、報告、および説明責任に対する高まる期待に応えることが困難になる可能性があります。
Akamaiは、ライフサイクル全体にわたる強力な可視性、ガバナンス、テストの必要性を強調し、具体的にはAPIの検出とインベントリの改善、開発と導入の早い段階でのセキュリティチェックの組み込み、APIセキュリティを信頼できるAIの前提条件として取り扱うことを推奨しています。
より詳細な調査結果は、以下のレポートから確認できます。
ソース元
Akamai による API セキュリティ調査:AI関連のAPIインシデントが最多、日本企業では1件あたり約 2億4,600万円の損害に
https://www.akamai.com/ja/newsroom/press-release/2026/akamai-api-security-study-ai-api-incidents-most-common-japanese-companies