ウェブアプリケーションに作り込まれやすい脆弱性とは何だと思いますか。セキュリティ企業のラックでは、年間1000件を超えるウェブアプリケーション診断(以下、Web診断)を実施しています。ラックが報告した脆弱性を分析してみると、「ウェブアプリケーションに作り込まれやすい脆弱性は何か?」の傾向が見えてきました。
2021~2022年に提供したWeb診断サービスについて、主にリピーターの顧客によく利用される「Webアプリケーション診断アドバンスト・ハイブリッド・ライト」と、主に新規の顧客によく利用される「DiaForceWebアプリケーション診断安全点検パック・エクスプレス」の診断結果を分けて集計することで、統計情報に新しい発見があるかを考察しました。そんなWeb診断の統計結果と専門家の一意見を前後編に分けて読者の皆さんに共有します。今回は後編です。
なお今回掲載している診断結果では、ラックにて重要度や深刻度が高いと定める「Mediumリスク以上(Medium、High、Critical)の脆弱性」を集計しています。
記事全体のポイントは以下の通りです(前編と同様)。まず2021~2022年のWeb診断サービスの統計結果から分かったことは、次の点です。
- リピーター顧客では「継続的な改善がなされている組織が多いものの、ビジネスロジックに起因する脆弱性への対応には苦労している」傾向が見られた
- 新規顧客では「インジェクション系やサーバー設定不備に起因する脆弱性が多く検出されており、基本的なセキュリティ対策(実装)に苦労している」傾向が見られた
次に、ウェブアプリケーションに作り込まれやすい脆弱性として特に注目しておきたいものは以下の4点です。
- SQLインジェクション
- クロスサイトスクリプティング(XSS)
- アプリケーション固有の脆弱性(ビジネスロジックや実装・仕様に起因する脆弱性など)
- サーバーの設定不備に起因する脆弱性(脆弱なCMSの利用や設定不備による情報漏えいなど)
最後は、ウェブアプリケーションのセキュリティ対策で重要なことは、「これだけやっておけばいい」という線引きはないということです(効率良くセキュリティ対策を盛り込むには、仕様策定フェーズと設計フェーズにおいて検討する必要がある)。
後編となる本稿では、新規の顧客における2022年(4~9月)の診断結果(脆弱性検出状況)を見ていきます。
