API 安全失守！Akamai：亞太企業平均每起攻擊損失超過 58 萬美元

文章來源 / Akamai Official Blog

這篇文章是 Akamai 在其官方部落格上發表亞太地區API安全漏洞研究的分析報告，主要講述以下重點：

一、研究背景與目的

2025 年，Akamai 發布「API 安全影響研究報告（API Security Impact Study）」，針對亞太地區主要經濟體（中國、印度、日本、澳洲）超過 800 位 IT 與資安專業人士進行問卷調查，深入呈現 API 資安事件的潛在漏洞、財務損失與營運挑戰研究發現，儘管 API 漏洞意識提高，但資安與高階領導層在資源投入仍不匹配，導致企業遭遇高頻率、代價昂貴的 API 攻擊。

二、關鍵統計與發現

• 事件頻率與財務衝擊

  • 85% 的亞太企業在過去一年遭遇至少一次與 API 相關的資安事件。

  • 每次攻擊事件的損失的平均成本超過 58 萬美元。

    
    

• 各國比較重點：

  • 中國：是唯一將「防護 API 遭受威脅攻擊」列為最高資安優先的國家，但對事件成本的估算在高層與技術人員間落差大：分別為375 萬元人民幣（51.7 萬美元）和 670 萬元人民幣（92.5 萬美元）。

    
    

  • 印度：管理層與 AppSec 團隊對 API 清單及敏感資料暴露狀態認知分歧明顯。雖有 77% 管理者稱掌握完整 API 資產，但只有 41% 的 AppSec 專業人員認同。此外，僅 11% 知曉團隊哪些 API 會回傳敏感資料。

    
    

  • 日本：API 安全僅排在資安優先順位第四，常見的原因是「監管機構還沒有要求」。但能源與零售業中有高達 96% 的組織曾遭遇 API 資安事件；AppSec 團隊認為最嚴重後果是聲譽受損。

    
    

  • 澳洲：事件頻率最高 (95%)，平均損失約為 49.3 萬澳幣，但定期實施完整 API 漏洞測試的組織不到 6%。

三、風險感知與防護之間的落差

在所有四個國家中，研究揭示了認知與現實之間的巨大差距：

• 高層風險意識高，營運可視性偏低：近 92% 的高階主管表示企業曾遭遇 API 事件，但僅 37% 的受訪者確認知道哪些 API 可能暴露敏感資料。

• 測試實施普遍不足：即時監測/API 測試比例偏低——中國 22%、印度 15%、日本 11%、澳洲僅 6%。

  
  

結論是：企業部署 API 的速度遠高於其防護能力，為攻擊者留下機會

四、合規方面的覺醒信號

雖然多數企業在合規規劃中有提及 API 安全，但實際上並未全面納入：

• 僅 41% 將 API 列入風險評估中

• 僅 40% 將 API 列入合規報告需求

• 日本更有 22% 完全未將 API 安全納入合規

  
  

面對中國「資料安全法」、澳洲「消費者資料權利法」等法規，API 安全風險若不妥善整合進合規與資安架構中，將可能引發更嚴重法遵與商譽問題。

五、Akamai 給予的實務建議

建議亞太企業採取以下「端到端」防護策略：

1. 建立完整 API 清單

2. 定期進行 API 安全測試，確保程式碼符合標準

3. 實作 Runtime 偵測機制，區分「正常」與「異常」API 活動

4. 加強領導層與 AppSec 團隊協同合作，導入合適工具與流程

   
   

總結

這篇 Akamai 報告揭示了亞太地區企業在 API 安全上的 高意識、低落差 問題：API 已是數位服務的核心，但因部署速度快於保護措施，導致頻繁受創、成本高昂、合規性不足。研究強調從高層策略對齊、技術可視性加強，到測試與監控實施，才能建構真正安全、且符合合規要求的 API 生態。