文/Akamai
Akamai Technologies,一家提供網路資安與雲端運算解決方案的全球領導企業,近日發布《2025 年 API 安全影響研究》(2025 API Security Impact Study)。本研究針對亞太地區主要經濟體中的企業,深入分析 API 資安事件所帶來的潛在弱點、財務衝擊與營運挑戰。
報告指出,儘管企業對 API 漏洞的認知日益提升,但亞太區的高階管理層與資安團隊在實際資源投入與防護措施上仍未跟上步伐,導致企業頻繁遭遇具破壞性的 API 攻擊事件。研究結果突顯出企業亟需在資安策略中釐清 API 安全的定位與優先順序。
本調查訪問了來自中國、印度、日本與澳洲的逾 800 位 IT 與資安專業人士,結果顯示,有 85% 的企業在過去 12 個月內發生過至少一次與 API 有關的資安事件。此類事件造成的平均財務損失超過 58 萬美元。然而,許多企業對自身 API 生態系統及其潛在暴露的敏感資料仍缺乏足夠可視性。
Akamai Technologies 亞太暨日本區資安技術與策略總監 Reuben Koh 表示:
「API 已成為現代數位基礎建設的關鍵,驅動從行動銀行到聯網車輛等各項應用。但我們的研究發現,亞太地區的許多組織仍在努力應對其安全風險。企業應儘速在 API 資安事件的根本原因、衝擊與優先順序上達成共識,並制定整合式資安策略,從開發到執行階段全面保護關鍵 API。」
亞太地區調查主要發現如下:
- 中國:API 安全被列為首要資安項目,但認知落差仍存在。中國是唯一將「防止 API 遭威脅行為者入侵」列為首要資安優先事項的國家。然而,高階主管估計每起事件損失為人民幣 375 萬元(約 51.7 萬美元),而第一線資安人員則估為人民幣 670 萬元(約 92.5 萬美元)。
- 印度:企業內部出現明顯斷層。77% 的印度高階主管表示已掌握完整 API 清單,但僅有 41% 的應用安全人員同意。此外,僅有 11% 的 AppSec 團隊表示了解哪些 API 會返回敏感資料。
- 日本:API 安全未獲充分重視,產業曝險程度卻高。API 安全在日本的資安優先順序中僅排名第四,然而能源與零售產業中,96% 的企業曾遭遇 API 資安事件。AppSec 團隊普遍認為對企業聲譽造成損害是最主要後果。
- 澳洲:事件發生率最高,應變速度卻最慢。API 資安事件發生率高達 95%,平均損失為 49.3 萬澳幣,但定期進行完整 API 漏洞測試的企業比例卻僅有 6%。
API 資安風險與應對能力之間的落差
報告指出,在所有受訪國家中,高階主管雖普遍意識到 API 資安風險,但整體可視性與應對能力仍然不足。
高層意識雖高,但實際可視性低。92% 的亞太高階主管表示企業曾於過去 12 個月遭遇 API 資安事件,但僅有 37% 的總受訪者能確認哪些 API 會暴露敏感資料。
測試與監控機制不一致。即使事件頻繁發生,即時 API 測試的實施比例仍偏低:中國 22%、印度 15%、日本 11%,而澳洲僅有 6%。
Reuben Koh 補充表示:「這個問題早已不是理論層面。API 濫用正在發生,並帶來實質的財務與聲譽損失。企業的領導團隊應積極與資安與應用安全專業人士攜手合作,投資正確的工具與流程,才能有效防範這項關鍵技術的風險。」
合規制度的警示訊號
調查亦發現,大多數企業雖將 API 安全納入合規架構,但實務上卻缺乏整合性做法:
- 僅有 41% 的企業將 API 納入風險評估程序
- 僅有 40% 納入報告義務中
- 日本企業落後最明顯,有 22% 表示完全未將 API 納入合規考量
面對中國《資料安全法》與澳洲《消費者資料權利法》等地區性法規日趨嚴格,企業對於 API 所帶來的合規責任與風險必須加以重視。
