Akamai發布《2025年API安全影響研究》(2025 API Security Impact Study)。本研究針對亞太地區主要經濟體中的企業,深入分析API資安事件所帶來的潛在弱點、財務衝擊與營運挑戰。
2025年API安全影響研究報告指出,儘管企業對API漏洞的認知日益提升,但亞太區的高階管理層與資安團隊在實際資源投入與防護措施上仍未跟上步伐,導致企業頻繁遭遇具破壞性的API攻擊事件。研究結果突顯出企業亟需在資安策略中釐清API安全的定位與優先順序。
本調查訪問了來自中國、印度、日本與澳洲的逾800位IT與資安專業人士,結果顯示,有85%的企業在過去12個月內發生過至少一次與API有關的資安事件。此類事件造成的平均財務損失超過58萬美元。然而,許多企業對自身API生態系統及其潛在暴露的敏感資料仍缺乏足夠可視性。
Akamai亞太暨日本區資安技術與策略總監Reuben Koh表示,API已成為現代數位基礎建設的關鍵,驅動從行動銀行到聯網車輛等各項應用。但研究發現,亞太地區的許多組織仍在努力應對其安全風險。企業應儘速在API資安事件的根本原因、衝擊與優先順序上達成共識,並制定整合式資安策略,從開發到執行階段全面保護關鍵API。
- 中國:API安全被列為首要資安項目,但認知落差仍存在。中國是唯一將防止API遭威脅行為者入侵列為首要資安優先事項的國家。然而,高階主管估計每起事件損失為人民幣375萬元(約51.7萬美元),而第一線資安人員則估為人民幣670萬元(約92.5萬美元)。
- 印度:企業內部出現明顯斷層。77%的印度高階主管表示已掌握完整API清單,但僅有41%的應用安全人員同意。此外,僅有11%的AppSec團隊表示了解哪些API會返回敏感資料。
- 日本:API安全未獲充分重視,產業曝險程度卻高。API安全在日本的資安優先順序中僅排名第四,然而能源與零售產業中,96%的企業曾遭遇API資安事件。AppSec團隊普遍認為對企業聲譽造成損害是最主要後果。
- 澳洲:事件發生率最高,應變速度卻最慢。API資安事件發生率高達95%,平均損失為49.3萬澳幣,但定期進行完整API漏洞測試的企業比例卻僅有6%。
報告指出,在所有受訪國家中,高階主管雖普遍意識到API資安風險,但整體可視性與應對能力仍然不足。
高層意識雖高,但實際可視性低。92%的亞太高階主管表示企業曾於過去12個月遭遇API資安事件,但僅有37%的總受訪者能確認哪些API會暴露敏感資料。
測試與監控機制不一致。即使事件頻繁發生,即時API測試的實施比例仍偏低:中國22%、印度15%、日本11%,而澳洲僅有6%。
Reuben Koh補充表,這個問題早已不是理論層面。API濫用正在發生,並帶來實質的財務與聲譽損失。企業的領導團隊應積極與資安與應用安全專業人士攜手合作,投資正確的工具與流程,才能有效防範這項關鍵技術的風險。
調查亦發現,大多數企業雖將API安全納入合規架構,但實務上卻缺乏整合性做法:
- 僅有41%的企業將API納入風險評估程序
- 僅有40%納入報告義務中
- 日本企業落後最明顯,有22%表示完全未將API納入合規考量
面對中國《資料安全法》與澳洲《消費者資料權利法》等地區性法規日趨嚴格,企業對於API所帶來的合規責任與風險必須加以重視。