【2025年版】Webアプリ／APIセキュリティの現状、今組織に求められる対策とは？

　生成AI活用やクラウド活用の加速に伴い、WebアプリケーションやAPIを狙う攻撃は急増している。ある調査によると、2024年だけで3110億件を超える攻撃が観測されたという。特にAIを悪用したAPI攻撃やレイヤー7 DDoS攻撃が深刻化していることも明らかになった。ハイテク業界やソーシャルメディア業界を中心に、認証情報不備やシャドーAPIといった弱点が突かれている。

　PCI DSS（クレジットカード情報および取引情報の保護基準）とGDPR（EU一般データ保護規則）に関連するセキュリティアラートは、それぞれ16％と21％に増加している。このような規制に違反すれば、巨額の罰金や信用の失墜につながりかねない。経営層にとっても、年間約870億ドル規模とされるAPIのセキュリティに関連するコストを抑えることは、喫緊の課題といえる。

　本資料では、同調査の観測データをもとに、最新の攻撃トレンドを解説するとともに、MITRE ATT&CKやOWASP（Open Worldwide Application Security Project）のフレームワークに沿った脅威分析と対策を紹介する。攻撃と防御の最前線を理解するための一助としてほしい。