ソフトウェア部品表の整備が急務--シノプシスが脆弱性検査動向を発表

ZDNET Japan Staff

2023-01-25 12:55

 日本シノプシスは1月25日、2022年に実施した2700件のソフトウェアのセキュリティテストについて結果の動向を発表した。対象アプリケーションの95%で脆弱(ぜいじゃく)性が検出されたと報告している。

 テスト対象の内訳は、82%がウェブアプリケーションおよびシステム、13%がモバイルアプリケーション、残りはソースコードやネットワークシステム/アプリケーションになる。ペネトレーション(疑似侵入)テストや動的なアプリケーションセキュリティテスト(DAST)、モバイルアプリケーションセキュリティテスト(MAST)などの方法で、これらのアプリケーション検査を4300回以上実施したという。

 これによると、調査対象の95%で何らかの脆弱性が検出(前年調査から2%減)され、そのうち20%(同10%減)は高リスク、4.5%(同1.5%減)は緊急リスクに分類されるものだった。72%が低/中程度リスクに分類されるものだったが、同社は、「低リスクの脆弱性でも攻撃の糸口に悪用される可能性がある」と指摘。例えば、ペネトレーションテスト対象の42%、DAST対象の49%からサーバー名やタイプ、バージョン番号などのサーバーバナーが検出され、こうした情報がサイバー攻撃者に悪用されかねないとした。

 また、脆弱性の内容では、アプリケーションとサーバーの設定ミスが全体の18%(同3%減)を占めた。また調査対象の78%で、Open Web Application Security Project(OWASP)が指摘するウェブアプリケーションの脆弱性の上位10種に該当するものが検出された。対象の22%からクロスサイトスクリプティング(XSS)の脆弱性が検出されたが、前年調査から6%減少し、「本番アプリケーションに潜在するXSS脆弱性を最小化するための対策に、企業や団体が積極的に取り組んでいる様子がうかがえる」(同社)という。

 さらにペネトレーションテストの結果では、対象の21%で脆弱なサードパーティーライブラリーの使用が見つかり、前年調査から3%増加した。

 同社は、ほとんどの企業や団体で独自開発コード、入手が容易な商用オフザシェルフコード、オープンソースコンポーネントを組み合わせて販売目的あるいは社内使用のソフトウェアが開発されているとし、こうした組織の多くが、ソフトウェアに組み込まれているコンポーネントのライセンスやバージョン、パッチのステータスなどの詳細を正確に記した目録を正式な形で作成していないか、目録自体を作成すらしていないと警鐘を鳴らす。

 こうした組織では、数百あるいは数千ものサードパーティーコンポーネントやオープンソースコンポーネントが組み込まれていることが多く、「コンポーネントの状態を効果的に追跡するためには、正確かつ最新のソフトウェア部品表(SBOM)の整備が急務だ」(同社)と指摘している。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. ビジネスアプリケーション

    急速に進むIT運用におけるAI・生成AIの活用--実態調査から見るユーザー企業の課題と将来展望

  4. クラウドコンピューティング

    Snowflakeを例に徹底解説!迅速&柔軟な企業経営に欠かせない、データ統合基盤活用のポイント

  5. ビジネスアプリケーション

    AI活用の上手い下手がビジネスを左右する!データ&AIが生み出す新しい顧客体験へ

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]