大手サイバーセキュリティー企業Wallarm(ワラーム)は、IBMの2025年データ漏洩コストレポートの調査結果を引用し、今日のデジタル環境におけるAIとAPIセキュリティーの重要性を強調した。レポートによると、AIモデルやアプリケーションに関連する侵害を報告した組織はわずか13%だったが、これらの侵害の主な侵入口はAPIや統合機能であることが多く、セキュリティー対策に大きなギャップがあることが示唆されている。
さらに、レポートでは、AI関連の侵害のうち、実に97%に及ぶケースで適切なアクセス制御が欠如しており、AIサプライチェーンが最も一般的な攻撃ベクトルとなっていることが明らかになっている。この結果、60%のケースでデータ侵害が発生し、31%で業務の中断が発生した。Wallarm社独自の2025年ThreatStatsレポートもこれらの調査結果を裏付けており、AI関連の脆弱性の98.9%がAPI関連であり、89%が脆弱な認証方法を使っていることが示されている。これは、組織がAIシステムを保護するためにAPIアクセス制御を強化することが急務であることを浮き彫りにしている。
IBMのレポートは、多くの組織におけるAIガバナンスの欠如にも光を当てている。侵害を受けた組織の63%は、AIガバナンスポリシーを策定していないか、策定中であることが分かった。ポリシーを策定している組織でも、AI導入の承認プロセスを設けているのは半数未満で、61%はAIガバナンス技術を欠いていた。このようなガバナンスの欠如は、AIシステムを無防備な状態にし、組織を侵害に対して脆弱にするため、堅牢なAIおよびAPIガバナンスの必要性を浮き彫りにしている。
本レポートで明らかになったもう一つの憂慮すべき点は、シャドーAIに関連する侵害の発生率とコストだ。シャドーAIとは、セキュリティーレビューを受けずに導入されたAIモデルやアプリケーションを指す。こうした侵害は、他の侵害よりも平均で67万ドル多く組織に損害を与え、顧客への侵害もより頻繁に発生している。シャドーAIの導入には、インターネットからアクセス可能な、文書化されていない、またはテストされていないAPIが含まれることが多く、認証が不足しており、ログ記録や監視パイプラインの外側に配置されているため、組織にとって重大な技術的盲点となっている。
本レポートでは、AIサプライチェーンへの侵害の解決に時間がかかり、コストがかかる点も指摘している。これらのインシデントは、特定から封じ込めまでの平均ライフサイクルが267日と、最も長くなっている。この長い期間は、攻撃者にデータの収集や出力の操作を行う十分な機会を与えており、堅牢なAPIセキュリティー対策の必要性をさらに強調している。
こうした課題にもかかわらず、本レポートは一筋の希望の光を示している。AIと自動化の活用によって、侵害のライフサイクルとコストを大幅に削減できる可能性があるということだ。AIと自動化を積極的に活用した組織では、タイムラインが80日短縮され、コストは平均190万ドル減少した。これは、盲点を排除するための自動検出、異常を検知するための継続的なトラフィック監視、そして悪用を防ぐためのリアルタイムブロッキングなど、APIセキュリティーにおける自動化の重要性を浮き彫りにしている。
これらの調査結果を踏まえ、Wallarmは、組織が強力なAPIアクセス制御を優先し、導入前にガバナンスを確立し、全ての資産を特定して保護し、サードパーティーとの統合を評価し、監視と対応を自動化する必要性を強調している。AIセキュリティーはAPIセキュリティーであることを認識することで、組織はAIおよびAPI関連の脅威からより効果的に身を守ることができる。
出典:Wallarm
この製品の詳細については、Wallarm製品ページをご覧ください。
