アプリとAPIのセキュリティの違い？ボットは気にしません。デジタル資産を守るためには。

2021年の調査では、回答者の61％が「モダンなユーザーインターフェースを可能にするためのAPIレイヤーを追加している」と回答しました。2022年には、その数は45％でした。つまり、モダンなユーザーインターフェースを可能にするAPIは、直接アプリケーションに接続されているアーティファクトではない可能性があります。それらは、モバイルアプリやデジタルサービスなどのモダンなユーザーインターフェースとアプリケーションを促進するファサードであるか、パートナーやサプライチェーンとの通信を可能にするファサードであるかもしれません。これらのユースケースは、APIゲートウェイやロードバランサーのレイヤー7ルーティングによってサポートされており、しばしばAPIエンドポイントからアプリエンドポイントへの変換機能を提供し、それにより古いアメリカ西部の建物のように見せかけるAPIファサードを実現しています。

そしてもちろん、多くのAPIは、公開フェーシングエンティティであり、アプリにアタッチされ、通常はウェブ（通常はHTTPS）を介してアクセスされます。

どのようにそこに到達したかに関係なく、公開フェーシングのAPIはアプリケーションと同様の多くの攻撃を受けます。特にボットが関与する場合はそうです。良いドキュメントを持つAPIは、攻撃者がスクリプトを使用して大規模な攻撃を行うのを容易にします。

例えば、2023年にF5 Distributed Cloud Bot Defenseで保護されたトランザクションの約13％が自動化されていました。つまり、ウェブブラウザやモバイルアプリを使用する代わりに、スクリプトやソフトウェアが使用されました。これらのトランザクションは、APIとアプリの両方を介して発生します。これらの自動化されたトランザクションの一部は、確かに私たちのセキュリティサービスの存在によって、何か悪いことをしようとしていた「悪いボット」を防止したものである可能性があります。「このF5 Labsのレポートでは、彼らが何をしようとしていたのか、より深く掘り下げることができる)

したがって、回答者が自己申告したAPIの数に基づいてボット管理をどのように認識しているかを調査したとき、ボット管理が重要度のスケールでかなり低いことに驚きました。