年1000件超の診断から見たウェブアプリケーションに作り込まれやすい脆弱性--前編

齋藤実成 (ラック)

2022-12-07 06:30

 ウェブアプリケーションに作り込まれやすい脆弱性とは何だと思いますか。セキュリティ企業のラックでは、年間1000件を超えるウェブアプリケーション診断(以下、Web診断)を実施しています。ラックが報告した脆弱性を分析してみると、「ウェブアプリケーションに作り込まれやすい脆弱性は何か」の傾向が見えてきました。そんなWeb診断の統計結果と専門家の一意見を前後編に分けて読者の皆さんに共有します。題して、「Web診断サービスで見つけた脆弱性、ちょっと見てみませんか?」。

 リスクマネジメントやサイバーセキュリティへの関心がますます強まる昨今、なぜウェブアプリケーションに脆弱性が作り込まれてしまうのか、どのように対策していくべきなのかについて、考えてみます。

 2021~2022年にかけて提供したWeb診断サービスについて、主にリピーター顧客によく利用される「Webアプリケーション診断アドバンスト・ハイブリッド・ライト」と、主に新規顧客に利用される「DiaForceWebアプリケーション診断安全点検パック・エクスプレス」の診断結果に分けて集計し、統計情報に新しい発見があるかを考察しました。

 今回はラックにて重要度や深刻度が高いと定める「Mediumリスク以上(Medium、High、Critical)の脆弱性」を集計しています。

 記事全体のポイントは以下の通りです。まず2021~2022年におけるWeb診断サービスの統計結果から分かったことは、次の2点です。

  • リピーター顧客では「継続的な改善がなされている組織が多いものの、ビジネスロジックに起因する脆弱性への対応には苦労している」傾向が見られた
  • 新規顧客では「インジェクション系やサーバー設定の不備に起因する脆弱性が多く検出されており、基本的なセキュリティ対策(実装)に苦労している」傾向が見られた

 また、ウェブアプリケーションに作り込まれやすい脆弱性として特に注目しておきたいものは以下の4点です。

  • SQLインジェクション
  • クロスサイトスクリプティング(XSS)
  • アプリケーション固有の脆弱性(ビジネスロジックや実装・仕様に起因する脆弱性など)
  • サーバーの設定不備に起因する脆弱性(脆弱なCMSの利用や設定不備による情報漏えいなど)

 最後に、ウェブアプリケーションのセキュリティ対策で重要なことは、「これだけやっておけばいい」という線引きがないということです(※効率良くセキュリティ対策を盛り込むには、仕様策定フェーズと設計フェーズにおいて検討する必要がある)。

 前編の本稿では、リピーター顧客における2021年の診断結果(脆弱性検出状況)を見ていきます。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]