AI本格化を見据えアプリケーションとAPIのセキュリティに注力–F5

今回は「AI本格化を見据えアプリケーションとAPIのセキュリティに注力–F5」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　F5ネットワークスジャパンは9月4日、都内で開催したイベントに合わせて記者会見を行い、本格的なAI時代を見据えてアプリケーションとAPIのセキュリティに注力するという事業戦略を説明した。会見ではこの領域の動向や同社の方向性などを米F5の幹部らが紹介した。

　F5は、ネットワークの負荷分散製品（ロードバランサー）やアプリケーション配信制御（ADC）などの「BIG-IP」を中心として、近年では、ウェブアプリ基盤の「NGINX」や、SaaSプラットフォームの「F5 Distributed Cloud Services」に事業のポートフォリオを変化させている。

　7月にF5ネットワークスジャパンのカントリーマネージャーに就任した木村正範氏は、会見の冒頭で「F5は、ユーザーが安心して便利にアプリケーションを利用できるよう開発や配信方法などの変化に合わせて対応している。アプリケーションのマイクロサービス化が進み、APIによる連携が広がりつつある中で、われわれはユニークな立場にあると自負している」と述べた。

　同社が最新の事業戦略でAIに注目するのは、実際に企業のビジネスアプリケーションでAIの実装が進むことが明確だからだという。米F5 AIと技術の最高責任者を務めるKunal Anand氏は、外部および同社での各種調査の結果を引用して、「今後数年のうちに大半のアプリケーションがAIを実装する」と指摘した。

　例えば、最高情報責任者（CIO）を対象とした「RBC CIO Survey 2024」によれば、回答者の30％が既に生成AIを業務で導入しているとし、今後12カ月以内の導入予定までを合わせると、77％が生成AIを本格導入する意向だった。また、IDCやGartner、F5の調査では、2027年時点でアプリケーションの56％にAIが実装されるとの予想だという。さらに、F5の調査では、IT予算全体に占めるAI関連の割合は18％で、94％は今後2年間にAI関連への投資が拡大すると回答した。

　Anand氏は、顧客との会話でもAIが話題になっているとし、「長年（テクノロジー）業界にいるが、AIが拡大するスピードは非常に速いといえる。前職ではCISO（最高情報セキュリティ責任者）を務めたが、IT予算に占めるセキュリティの割合は5～10％程度で、それと比較してもAIへの投資はとても大きなものだ」とした。

　次に、AI関連支出の内訳を見ると、F5の調査によれば、現時点では大規模言語モデル（LLM）やアプリケーション、ソフトウェア開発の割合が高い。2026年時点の予想でもこれらに大きな変化はないが、セキュリティが9％から13％に拡大するという。上述の調査結果も踏まえた現状から、同社はAI時代を見据えてアプリケーションとAPIのセキュリティに注力する事業戦略を打ち出しているそうだ。

　Anand氏は、既にAI関連のセキュリティが企業にとって課題になりつつあるとも説明した。生成AIの課題に関する同社の調査では、「規制やコンプライアンスの対応」が47％で最も高く、以下は「セキュリティとネットワークのポリシーの一貫性」（37％）、「AIアプリケーションの保護」（36％）、「（モデルの）訓練におけるネットワーク帯域幅のボトルネック」（29％）などだった。

　「さらにAIの新たな課題として、AIを悪用する攻撃やAIモデルのミスがもたらす責任、データの無断使用、データの漏えいも浮上している。未修正の脆弱（ぜいじゃく）性を悪用したり、新たなマルウェア開発にAIチャットボットを用いたりするなどの脅威がある」（Anand氏）

　Anand氏は、同社では先行してAIの取り組みを進めてきたと説明する。特に機械学習は、BIG-IPで、ウェブアプリケーションファイアウォール（WAF）でのレイヤー7における攻撃の検知やポリシーの学習、Distributed Cloud Servicesでは悪性ボットの検知や攻撃シグネチャーの自動調整などに活用しているなど、関連特許も多数取得しているという。

　今後は、同社の製品ポートフォリオ全体で生成AIを含むAIの適用を拡大させていく。AI搭載WAFやBIG-IPでのAIによるルール／ポリシー作成支援、NGINXおよびDistributed Cloud ServicesのAIアシスタント、NGINXでのAIによる設定確認などの新機能を1年以内に順次提供する予定だという。Anand氏は、近い将来に企業でAIを組み込むアプリケーションやシステム、インフラの構築と運用が本格化することを見据えて、セキュリティの提供に注力していくと述べた。

　会見では、フィールドCISOを務めるChuck Herrin氏がAPIのセキュリティについても深掘りし、APIのセキュリティも既に多くの組織で困難な課題として具現化していると指摘した。日本とアジア太平洋地域（APAC）を対象にした同社の調査によると、APIに関する懸念事項の上位に、日本では「セキュリティ設定のミス」（21％）と「認証の不備」（16％）、「制限のないリソースの消費」（16％）、APACでは「認証の不備」（15.0％）と「セキュリティ設定のミス」（13.2％）が挙がったという。

　「ソフトウェア開発者が用意したAPIをセキュリティ担当者が把握できていないといった両者の連携がうまく取られていない状況もある」（Herrin氏）

　AIでは、アプリケーションやサービス、データ、LLMといったものがAPIで相互接続される構成となる場合が多く、Herrin氏は、「多くのケースでAPIの可視性が確保されておらず、AIの本格導入時に大きく影響する。APIは、AIが適切に機能するかどうかを左右するので、APIを深いレベルで保護することが肝心だ。また、アタックサーフェス（攻撃対象領域）はアーキテクチャーで決定されるだけに、APIの実装が大きなポイントになる」とも指摘した。

　今後の事業戦略においては、AIのアプリケーションが展開されるあらゆる領域とAPIに対して、一貫性のあるセキュリティの保護と管理性、可視性を提供していくと強調した。