F5 広報事務局
(共同ピーアール株式会社)大塚、勝呂
F5-pr@kyodo-pr.co.jp
エージェント型AI導入の急拡大で、APIがセキュリティ上の重大な盲点になるリスクも
あらゆるアプリケーションのデリバリーとセキュリティを担うグローバルリーダーであるF5 (NASDAQ: FFIV) は、AIの導入拡大によりAPIへの脅威の状況がどのように変化しているか検証するため、日本を含むアジア太平洋地域(APAC)の企業・組織を対象に行った調査『2025年の戦略的要件:エージェント型AI時代のAPIセキュリティ』の結果を発表しました。それによると、エージェント型AI の急速な導入に伴い、適切な対策が施されていないAPIによりセキュリティリスクが拡大している事実が明らかになりました。
現在、APAC の企業・組織の 80% 以上が API を使用して AI および機械学習モデルをデプロイしています。人間をはるかに上回るスピードで自律的にタスクを実行するエージェント型AI環境が広がる中で、かつては単純なデータコネクタだったAPIは重要性が増しています。一方で、充分なセキュリティ対策がなければ、権限の不整合やガバナンスの不備により、想定しないアクションが実行されるリスクがあります。
調査によると、日本の企業・組織の50%以上(APAC全体では63%)がビジネス継続性、コンプライアンス、AI導入によるビジネス変革において、APIセキュリティを「非常に重要である」と認識しています。それにもかかわらず対策では遅れが目立ち、ツール、プロセス、スキルの面で「十分に対策できている」企業は各項目で21〜32%、「APIセキュリティの専任部門がある」企業はわずか15%で、認識と実態の間に大きな隔たりがあることが明らかになりました。APAC全体では、42%の企業・組織が十分なAPIガバナンス機能を報告している一方、APIセキュリティ専任チームがあるのは22%にとどまっています。このような状況下では、一貫性のあるセキュリティ対策が実施されず、監視の致命的な抜け・漏れへと繋がり、企業・組織が業務とコンプライアンスの両面で大きなリスクを抱えることになります。
F5ジャパンCTOの丸瀬明彦は次のように述べています。
「AIエージェントのスピードと自律性に対応するには、APIセキュリティをビジネス運営の基盤に組み込むことが不可欠です。具体的には、ガバナンス、可視性、ポリシーの実行をAPIワークフローに直接統合し、人間であれAIであれ、すべてのやり取りをリアルタイムで認証・許可・監視できる状態にすることを意味します。F5では、すべての企業・組織がこれらの管理を強化し、レジリエンスや俊敏性を損なうことなくAIの導入を加速できるよう支援しています」
F5のレポートでは、日本企業にみられるAPIセキュリティの具体的なリスクとして、以下の点を挙げています。
ディスカバリー(検知)の管理は分散し、リスクを把握できていない:42%の企業・組織が、自社のディスカバリー能力を「ほとんど有効でない」と評価しており、シャドーAPIやゾンビAPI、コンプライアンスに関わるAPIの可視性が制限されています。
ポスチャー管理はリスクとの整合性を欠いている:仕様やライフサイクル管理を強力に適用できていると答えた企業・組織は14~20%にとどまり、API設計と現実のリスク対応との間にギャップが残っています。
アクセス管理は十分に機能していない:OAuthやアプリ間連携の制御は14~16%しか有効に機能しておらず、回答者の3分の1以上が懸念を示しているにもかかわらず、十分な実効性が得られていません。
ランタイム防御は自律型の脅威に対して脆弱 : 回答者の25%が機械学習による検知やポリシーの実行がほとんど効果を発揮していないと報告しており、リアルタイムでのエージェント型活動に対してギャップが生じるリスクがあります。
テストは本番前にとどまり、実際の脅威を捉えられていない:本番環境でトラフィックやクローラーベースのスキャンを実施している企業は25%未満にとどまり、不正挙動や新たに露出したAPIの検知能力は弱い状況です。
監視が強まる中、コンプライアンス遵守は遅れがち : 国際規制やプライバシー義務をAPI経由で確実に実行できると自信を持つ企業は20%未満で、潜在的な規制リスクが残ります。
エージェント 型AI の 5 つの戦略的必須事項
日本の企業・組織の57%(APAC全体では69%)が、今後1年間にAPIセキュリティ対策への支出が増加すると予想しており、APIが経営上の重要事項として広く認識されつつあることを示しています。しかし、予算が増えても、統一された管理体制がなければ、サイバーレジリエンスを高めるどころか、分断されたセキュリティ体制を助長するだけになりかねません。
AI変革の取り組みを頓挫させかねないガバナンスのギャップに対処するために、F5は日本企業が次の5つの戦略的要件に取り組むことを提言しています。
専任のAPI管理責任部門立ち上げとライフサイクル全体に対する権限付与:責任の分散は管理性を弱めます。設計から運用まで、ディスカバリー、アクセス、監視、ガバナンスを統合的に管理するクロスファンクショナルなAPIセキュリティチームを設置することが重要です。
リアルタイムの検知・検査・アクセス制御の実現:静的なインベントリや境界防御だけでは不十分です。コード解析、トラフィック監視、クローラーによる継続的なディスカバリーを実施し、機械学習ベースのランタイム検知やきめ細かいIDベースのアクセス制御を適用することで、エージェント型AIの活動を権限内の活動に留めるべく監視します。
リアルタイムかつAIネイティブな実行を支えるアーキテクチャへの刷新:スケーラブルでイベントドリブンのエージェント動作を可能にするため、ストリーミングフレームワークやクラウドネイティブ設計を採用する必要があります。APIはAIおよび機械学習サービスをモジュール型インテリジェンスとしてホスト・オーケストレーションできるよう構築されなければなりません。
ガバナンスを強化し、信頼性・追跡性・倫理的ガードレールを確保する : すべてのエージェント対応APIは、完全な監査ログ、意思決定の経路追跡、そして人間の介入を組み込んだプロトコルをサポートする必要があります。ガバナンスは性能やセキュリティにとどまらず、信頼性と監督の領域まで拡張されるべきです。
API可視化やセキュリティの高度化こそ、日本のAI競争力のカギ : 安全でガバナンスの効いたAPIがなければ、エージェント型AIの自律性はむしろリスクとなります。APIレイヤーを強化しなければ、AIの導入拡大に伴いシステム全体が危険にさらされる可能性があります。
本調査は、エージェント型AI時代におけるAPAC地域のAPIセキュリティの現状を評価するため、F5がTwimbit社に委託して2025年上半期に実施したものです。調査対象は、10の国・地域(オーストラリア、中国、インド、インドネシア、日本、韓国、マレーシア、ニュージーランド、シンガポール、台湾)で、セキュリティ、DevOps、SecOps、アプリケーション開発など多様な分野の専門家1,000名から回答を得ました。
F5について
F5はあらゆるアプリケーションのデリバリーとセキュリティを担うグローバルリーダーです。30年にわたる事業で培った専門知識を基盤に、F5は業界最高峰のプラットフォームであるF5 Application Delivery and Security Platform(ADSP)を構築し、オンプレミス、クラウド、エッジ、ハイブリッド、マルチクラウドの環境を問わず、あらゆるアプリとAPIをデリバリーし、セキュリティを担保しています。 F5 は革新を続け、世界最大かつ最先端の組織と提携して、高速で可用性が高く安全なデジタルエクスペリエンスを提供することに注力しており、企業・組織のお客様の成長を支援し、より良いデジタル世界を実現します。
F5やパートナー企業、テクノロジーに関する詳細は以下のリンクをご参照ください。
ホームページ https://www.f5.com/ja_jp
X(旧ツイッター) @F5Japan
LinkedIn https://www.linkedin.com/company/f5/