年1000件超の診断から見たウェブアプリケーションに作り込まれやすい脆弱性–前編

今回は「年1000件超の診断から見たウェブアプリケーションに作り込まれやすい脆弱性–前編」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 ウェブアプリケーションに作り込まれやすい脆弱性とは何だと思いますか。セキュリティ企業のラックでは、年間1000件を超えるウェブアプリケーション診断(以下、Web診断)を実施しています。ラックが報告した脆弱性を分析してみると、「ウェブアプリケーションに作り込まれやすい脆弱性は何か」の傾向が見えてきました。そんなWeb診断の統計結果と専門家の一意見を前後編に分けて読者の皆さんに共有します。題して、「Web診断サービスで見つけた脆弱性、ちょっと見てみませんか?」。

 リスクマネジメントやサイバーセキュリティへの関心がますます強まる昨今、なぜウェブアプリケーションに脆弱性が作り込まれてしまうのか、どのように対策していくべきなのかについて、考えてみます。

 2021~2022年にかけて提供したWeb診断サービスについて、主にリピーター顧客によく利用される「Webアプリケーション診断アドバンスト・ハイブリッド・ライト」と、主に新規顧客に利用される「DiaForceWebアプリケーション診断安全点検パック・エクスプレス」の診断結果に分けて集計し、統計情報に新しい発見があるかを考察しました。

 今回はラックにて重要度や深刻度が高いと定める「Mediumリスク以上(Medium、High、Critical)の脆弱性」を集計しています。

 記事全体のポイントは以下の通りです。まず2021~2022年におけるWeb診断サービスの統計結果から分かったことは、次の2点です。

 また、ウェブアプリケーションに作り込まれやすい脆弱性として特に注目しておきたいものは以下の4点です。

 最後に、ウェブアプリケーションのセキュリティ対策で重要なことは、「これだけやっておけばいい」という線引きがないということです(※効率良くセキュリティ対策を盛り込むには、仕様策定フェーズと設計フェーズにおいて検討する必要がある)。

 前編の本稿では、リピーター顧客における2021年の診断結果(脆弱性検出状況)を見ていきます。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
シェルスクリプトをJavaScript/TypeScriptで記述、どのOSでも実行できる「Bun Shell」、JavaScriptランタイムのBunが発表
Bun
2024-01-30 10:04
GitHub、コードの脆弱性を発見後、修正コードまで自動生成してくれる「Code scanning autofix 」発表。GitHub Universe 2023
GitHub
2023-11-10 02:32
グーグル、「AlloyDB for PostgreSQL」発表–PostgreSQL互換のフルマネージドDBサービス
IT関連
2022-05-14 21:31
Reactベースのフレームワーク「Next.js 13.5」正式リリース。使用メモリ40%削減、ローカルサーバ起動の高速化など性能向上
JavaScript
2023-10-03 03:10
米国、対ランサムウェアで官民連携 MicrosoftやGoogle、FBIやNSAなどが参加
セキュリティ
2021-08-08 10:57
JBS、eラーニング向け基盤にAvePointの学習管理システムを採用
IT関連
2024-08-01 02:20
【コラム】暗号資産とエネルギー消費をめぐる議論
ブロックチェーン
2021-04-04 05:07
ThinkPad着想の「ThinkPhone」はビジネスユーザーに最適なスマートフォン
IT関連
2023-05-18 14:06
オラクルをはじめメガクラウドベンダーが相次いで日本に巨額投資する背景とは
IT関連
2024-04-27 05:52
アップルが世界中の製造パートナー110社以上が製品製造に利用する電力を100%再生可能エネルギーに変更と発表
EnviroTech
2021-04-02 08:02
「Windows 365」をハンズオン–マイクロソフトのクラウドPC、その使用感
IT関連
2021-08-13 05:08
トレンドマイクロ、5G向けセキュリティ機能を発表–富士通と実証
IT関連
2021-04-08 07:29
ディスプレイに背景映像+手前に人物 東宝スタジオでCG+実写「バーチャルプロダクション」
企業・業界動向
2021-04-13 16:42
OKI、羽田空港で遠隔操作ロボットの実証実験–4つのカメラ映像を俯瞰合成してシームレスに表示
IT関連
2021-03-13 07:54