SOLUTION
シノプシスがソフトウェア脆弱性スナップショット・レポートを発表 脆弱性は減少傾向にあることが明らかに
2024.1.30 5:34 pm
アプリケーションから脆弱性が検出された割合は2020~22年に14ポイント減少
シノプシス(Synopsys, Inc.)は“ソフトウェア脆弱性スナップショット -Webおよびソフトウェア・アプリケーションによく見られる10の脆弱性に関する3年間の分析”を発刊した。シノプシス・サイバーセキュリティ・リサーチ・センター(CyRC)が分析したデータによると、調査対象のアプリケーションから脆弱性が検出された割合は、2020年の97%から2022年には83%へと大幅に減少しており、コード・レビュー、自動テスト、継続的インテグレーションの実施が一般的なプログラミング・エラーの減少に寄与していることがうかがえる。
本レポートには、シノプシス セキュリティ・テスト・サービスがWebアプリケーション、モバイル・アプリケーション、ネットワーク・システム、ソース・コードを対象に実施したテストから得られた3年分(2020~22年)のデータが詳細に掲載されている。テストは、ペネトレーション・テスト、動的アプリケーション・セキュリティ・テスト(DAST)、モバイル・アプリケーション・セキュリティ・テスト(MAST)、ネットワーク・セキュリティ・テストなど、複数のセキュリティ・テスト手法を駆使して、実際の攻撃者と同じように実行中のアプリケーションに対して実施した。
今回の結果は業界にとってポジティブな進展と言える一方で、このデータからは、静的アプリケーション・セキュリティ・テスト(SAST)のような単一のセキュリティ・テスト・ソリューションのみに依存することは、もはやアプローチとして十分ではないことも読み取れる。例えば、サーバーの設定ミスは、3 年間のテストで発見された脆弱性全体の平均 18%に相当する。コーディングの欠陥を特定するSAST、実行中のアプリケーションを検査するDAST、サードパーティのコンポーネントによって導入された脆弱性を特定するソフトウェア・コンポジション解析(SCA)、内部テストで見落とされている可能性のある問題を特定するペネトレーション・テストを組み合わせた多層的なセキュリティ・アプローチがなければ、この種の脆弱性は検出されない可能性が高い。
シノプシス ソフトウェア・インテグリティ・グループ ジェネラル・マネージャー Jason Schmittは、次のように述べている。
「ここ数年で初めて、ソフトウェアに潜む既知の脆弱性の件数が減少しました。これは、企業/団体がセキュリティ対策に真剣に取り組み、継続的な効果を得るためにソフトウェア・セキュリティに対する戦略的かつ全体的なアプローチに重きを置いていることを示すものであり、新たな希望と言えるでしょう。ハッカーの手口は巧妙化しており、ソフトウェア・リスクの所在を特定し、脆弱性の悪用からビジネスを守るためには、多層的なセキュリティ・アプローチがこれまで以上に必要とされています」
・ソフトウェア脆弱性スナップショットの要旨
-重大度が高および緊急の脆弱性は増加
過去3年間の平均では、実施したテストの92%で何らかの脆弱性が検出されたが、そのうち重大度が高の脆弱性は27%、重大度が緊急の脆弱性は6.2%であった。重大度が高の脆弱性は2021年から22年にかけて5ポイント増加し、緊急の脆弱性は2022年(6.7%)に最高を記録した。
-情報漏えいは最重要リスク
発覚したセキュリティ問題のトップは、2020年から22年にかけて変わらず、情報漏えいリスクだった。これは、機密情報が権限のない第三者に漏洩した場合に発生する重大なセキュリティ問題である。3年間のテストで見つかった脆弱性全体の平均19%が情報漏えいの問題に直接関連している。
-クロスサイト・スクリプティングは増加傾向
2022年に発見された高リスク脆弱性のうち、19%がクロスサイト・スクリプティング攻撃の影響を受けやすいことが判明した。
-サードパーティ製ソフトウェアのリスクが高まる
2022年のセキュリティ問題トップ10のうち、「脆弱なサードパーティ・ライブラリの使用」は実施したテストの25%から検出された。サードパーティやオープンソースのコンポーネントを含め、使用している全てのコンポーネントのバージョンを把握していない場合、ソフトウェアは脆弱となる可能性が高い。
“ソフトウェア脆弱性スナップショット - Webおよびソフトウェア・アプリケーションによく見られる10の脆弱性に関する3年間の分析”は、下記よりダウンロード可能。
https://www.synopsys.com/ja-jp/software-integrity/resources/analyst-reports/software-vulnerability-trends.html
シノプシス・サイバーセキュリティ・リサーチ・センター(CyRC)
https://www.synopsys.com/ja-jp/software-integrity/cybersecurity-research-center.html
シノプシス ソフトウェア・インテグリティ・グループ
https://www.synopsys.com/ja-jp/software-integrity.html