日本ラドウェア株式会社は1月20日、「2020-2021年のWebアプリケーションセキュリティの現状報告書」を発表した。同調査はラドウェア社がオスターマンリサーチ社に委託し、従業員数1,000人以上の組織のネットワークセキュリティやDevOps/DevSecOps、ネットワーク運用および関連業務、アプリケーション開発、アプリケーションセキュリティ、その他様々なITおよび関連業務を職務とする意思決定者や影響力保持者205人を対象に調査を行っている。同報告では、ユーザーの認証情報や支払い情報、社会保障番号などAPIを介したウェブアプリケーションへの依存度の高まりから、これからの大きな脅威としてAPIの悪用を挙げ、最も頻繁に発生する攻撃のベクトルになると予測、APIセキュリティは、2021年に企業が対策を講じるべき最も重要な課題となると指摘している。同報告の調査対象となった組織のおよそ40%が、「自社のアプリケーションの半分以上がAPIを介してインターネットやサードパーティのサービスにさらされている」と報告しており、55%がAPIに対するDoS攻撃を、49%がインジェクション攻撃を、42%がエレメントやアトリビュートの悪意ある操作を少なくとも月に一度は経験していると回答している。ウェブアプリケーションファイアウォール(WAF)がAPIなどに対する攻撃の検出と防御を担う一方、ボット管理ツールが高度なボット攻撃に対する防御を行うが、同調査にて、本物のユーザーとボットを区別するための専用ソリューションを導入している組織はわずか24%にすぎないことが判明、洗練された悪質なボットが何を行っているのか理解していると回答した調査対象者はわずか39%にとどまった。また、同報告書ではモバイルアプリの安全性について、セキュリティが完全に統合されているモバイルアプリは36%しかなく、大多数のアプリはセキュリティが最小限か全くない(22%)という結果であったと述べ、モバイルアプリのセキュリティ対策が講じられるまで、モバイルチャネルを攻撃するインシデントがさらに発生すると予測している。
