Google Cloud は、毎年恒例の RSA サイバーセキュリティ カンファレンスに合わせて、ビジネス ロジック攻撃の防止を支援するために設計された API 管理および予測分析サービスである Apigee のアップデートを発表しました。
ビジネスロジック攻撃とは、アプリの設計と実装における欠陥を悪用し、悪意のある攻撃者が意図しない動作を引き起こす攻撃です。特定が難しく、非常に広範囲に及んでいます。Silver Tail Systemsが委託した調査によると、2011年から2012年にかけて、企業の90%がビジネスロジック攻撃によって収益を失いました。
Googleは、こうしたタイプのエクスプロイトに対抗するため、Apigeeに新たな機械学習モデルを導入しました。このモデルは、潜在的なビジネスロジック攻撃を検知するようにトレーニングされているとのことです。Google Cloudは、Apigee Advanced API Securityのすべての顧客に提供され、Googleの社内データでトレーニングされたこのモデルは、サーバーを制御下に置いた攻撃者がサーバーの「アクティビティパターン」を変化させるといった微妙な行動を検知できるほどの感度を備えていると主張しています。
「API不正検出を支える機械学習モデルは、Google社内のチームによってトレーニングされ、公開APIを保護するために使用されています」と、Google Cloudのプロダクトマネージャー、シェリー・ハーシュコビッツ氏はブログ投稿で述べています。「これらのモデルは長年の学習とベストプラクティスに基づいています。」
Apigeeはこれらのモデルに加え、大量のアラートの中からパターンを見つけることでAPIの不正使用をより正確に特定できるダッシュボードも導入しています。Hershkovitz氏の言葉を借りれば、このダッシュボードは攻撃の「本質」を捉え、攻撃元、API呼び出し回数、攻撃期間といった重要な特性も把握しようとしています。
「APIトラフィックの増加に伴い、世界中の企業は悪意のあるAPI攻撃の増加に直面しており、APIセキュリティの優先度はますます高まっています」とハーシュコビッツ氏は続けた。「私たちは、API不正インシデントの検出をより迅速かつ容易にします。」
ハーシュコビッツ氏の指摘の通り、企業におけるAPIセキュリティへの懸念は高まっており、現在もなお高まっています。ある調査(APIセキュリティベンダーが実施したもので、完全な透明性が確保されています)によると、2022年末にはAPI攻撃が急増し、わずか数か月前と比べて400%増加しました。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
これらの攻撃は、多大なコストを伴います。Impervaが約11万7000件のセキュリティインシデントを分析したところ、APIのセキュリティ上の脆弱性により、組織は年間410億ドルから750億ドルの損失を被っていることが明らかになりました。また、Open Worldwide Application Security Projectの別のレポートによると、APIセキュリティインシデントの発生件数が最も多いのは中小企業であり、インシデントの多くは売上高5000万ドル未満の企業に発生しています。そのため、侵害一つ一つが収益に与えるダメージはさらに大きくなります。
Google 独自の調査 (あまり重要ではないが) によると、組織の 50% が過去 12 か月間に API セキュリティ インシデントを経験しており、そのうち 77% が新しいサービスやアプリの展開を遅らせている。
「企業が長期的な財務的および評判上の損害を防ぐためには、APIの不正使用インシデントを早期に検知し、被害を軽減することが不可欠です」とハーシュコビッツ氏は述べています。「APIセキュリティインシデントはますます頻繁に発生し、大きな混乱を引き起こしています。」
カイル・ウィガーズは2025年6月までTechCrunchのAIエディターを務めていました。VentureBeatやDigital Trendsに加え、Android Police、Android Authority、Droid-Life、XDA-Developersといった様々なガジェットブログにも記事を寄稿しています。音楽療法士のパートナーとマンハッタンに在住。
バイオを見る
