セキュリティの穴「API」 企業が対策できていない理由とは

日本企業の約7割がAPIセキュリティ対策を十分に実施できていないことが判明した。AIエージェントの台頭により、APIの可視性や制御、監視体制の整備がより重要になったが、管理体制が整っていない。

[後藤大地，有限会社オングス]

　F5は2025年9月24日、日本を含むアジア太平洋地域（APAC）におけるAPIセキュリティの現状を調査した報告書「2025年の戦略的要件：エージェント型AI時代のAPIセキュリティ」を発表した。

　報告書によれば、日本企業の約7割が十分なAPIセキュリティ対策を実施できていないことが判明した。AIエージェントの導入拡大により、APIがセキュリティ上の重大な盲点となるリスクが高まっている。

セキュリティの穴「API」　企業が対策できていない理由とは

　報告書によると、APAC地域の企業・組織の80％以上がML（機械学習）を含めたAIの導入にAPIを利用している。AIエージェントは人間を大きく上回る速度で自律的に業務を遂行できるため、APIの役割は単なるデータ接続から、事業継続やコンプライアンスを支える基盤へと変化しつつある。日本においても半数以上の企業がAPIセキュリティを重要な領域と認識している。しかし、実際に専任部門を持つ企業は15％にとどまり、APIセキュリティに十分対応できていると答えた企業も3割未満だった。

　F5ジャパンの丸瀬明彦氏（CTO）は「AIエージェントのスピードと自律性に対応するには、APIセキュリティを業務運営の基盤に組み込むことが不可欠だ」と述べ、ガバナンスや可視性の強化、リアルタイムの監視体制の整備が急務だと指摘した。

　この調査では日本企業に共通するAPIセキュリティの弱みを6点挙げた。

（1）ディスカバリー（検知）の管理が分散している

　42％の企業・組織が自社のディスカバリー能力を「ほとんど有効でない」と評価した。シャドーAPIやゾンビAPI、コンプライアンスに関わるAPIの可視性が制限されている。

（2）ポスチャー管理がリスクとの整合性を欠いている

　APIの仕様やライフサイクル管理を強力に適用できていると答えた企業・組織は14〜20％であり、API設計と現実のリスク対応との間にギャップが残っている。

（3）アクセス管理が十分に機能していない

　OAuthやアプリ間連携の制御は14〜16％しか有効に機能しておらず、回答者の3分の1以上が懸念を示した。

（4）ランタイム防御が自律型の脅威に対し脆弱

　回答者の25％が機械学習による検知やポリシーの実行がほとんど効果を発揮していないと報告した。リアルタイムでのAIエージェントの活動に対してギャップが生じるリスクがある。

（5）テストが本番前にとどまり、実際の脅威を捉えられていない

　本番環境でトラフィックやクローラーベースのスキャンを実施している企業は25％未満であり、不正な挙動や新たに露出したAPIの検知能力は弱い状況にある。

（6）監視が強まる中、コンプライアンス順守は遅れがち

　国際規制やプライバシー義務をAPI経由で確実に実行できると自信を持つ企業は20％未満で、潜在的な規制リスクが残る。

予算を増やせばよいのか

　日本企業の57％が「今後1年間でAPIセキュリティ予算を増額する」と回答した。しかしF5は予算を拡大しても統合的な管理がなければ分断された体制が残り、セキュリティ強化につながらないと警鐘を鳴らす。

　この状況を踏まえて、F5は日本企業に対して幾つかの対策を提言した。専任部門の設立と権限付与の他、リアルタイムの検知・制御体制の構築、AIネイティブなアーキテクチャへの刷新、ガバナンス強化による透明性と監査能力の確保、API可視化とセキュリティ高度化による競争力の確立という5つの戦略的要件だ。

　今回の報告は、日本企業がAI活用を推進する過程で直面する現実的なリスクと、それに対応する管理体制の不備を明らかにした。APIを軸に据えたセキュリティ基盤の強化は、今後のAI導入において避けて通れない課題と言える。