年1000件超の診断から見たウェブアプリケーションに作り込まれやすい脆弱性–前編

今回は「年1000件超の診断から見たウェブアプリケーションに作り込まれやすい脆弱性–前編」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 ウェブアプリケーションに作り込まれやすい脆弱性とは何だと思いますか。セキュリティ企業のラックでは、年間1000件を超えるウェブアプリケーション診断(以下、Web診断)を実施しています。ラックが報告した脆弱性を分析してみると、「ウェブアプリケーションに作り込まれやすい脆弱性は何か」の傾向が見えてきました。そんなWeb診断の統計結果と専門家の一意見を前後編に分けて読者の皆さんに共有します。題して、「Web診断サービスで見つけた脆弱性、ちょっと見てみませんか?」。

 リスクマネジメントやサイバーセキュリティへの関心がますます強まる昨今、なぜウェブアプリケーションに脆弱性が作り込まれてしまうのか、どのように対策していくべきなのかについて、考えてみます。

 2021~2022年にかけて提供したWeb診断サービスについて、主にリピーター顧客によく利用される「Webアプリケーション診断アドバンスト・ハイブリッド・ライト」と、主に新規顧客に利用される「DiaForceWebアプリケーション診断安全点検パック・エクスプレス」の診断結果に分けて集計し、統計情報に新しい発見があるかを考察しました。

 今回はラックにて重要度や深刻度が高いと定める「Mediumリスク以上(Medium、High、Critical)の脆弱性」を集計しています。

 記事全体のポイントは以下の通りです。まず2021~2022年におけるWeb診断サービスの統計結果から分かったことは、次の2点です。

 また、ウェブアプリケーションに作り込まれやすい脆弱性として特に注目しておきたいものは以下の4点です。

 最後に、ウェブアプリケーションのセキュリティ対策で重要なことは、「これだけやっておけばいい」という線引きがないということです(※効率良くセキュリティ対策を盛り込むには、仕様策定フェーズと設計フェーズにおいて検討する必要がある)。

 前編の本稿では、リピーター顧客における2021年の診断結果(脆弱性検出状況)を見ていきます。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
バイデン政権の労働長官はギグワーカーを従業員待遇にすべきと考えている
パブリック / ダイバーシティ
2021-05-01 01:41
DXの取り組みで「シャドーIT」への見方に変化の兆し–ガートナー調査
IT関連
2024-09-05 11:20
東亜ディーケーケー、クラウドオファリング「RISE with SAP」を採用
IT関連
2023-11-30 14:09
東電かたる詐欺メールに注意 「くらしTEPCO」の偽ページで個人情報を窃取
セキュリティ
2021-04-07 07:30
脚光を浴びる「プラス・セキュリティ人材」–求められる理由とは
IT関連
2023-09-27 00:23
電動キックボード運転の男を書類送検、無免許疑い
IT関連
2021-06-17 08:43
GitLab、バグや脆弱性の検出ツール「GitLab Protocol Fuzzer Community Edition」をオープンソースで公開。APIやHTTP経由などでファジングを実行
GitLab
2021-04-05 20:32
インテル、「iOS」「Android」端末とPCを連携させる「Unison」を提供へ
IT関連
2022-09-29 03:28
SOMPOひまわり生命保険と日立、がん検診レコメンドサービスを実証
IT関連
2022-04-05 12:21
発展する「納品のない受託開発」–ソニックガーデンの10年を予想
IT関連
2021-07-13 17:44
Blazor WebAssemblyとBlazor Serverが統合、フルスタックUIフレームワークに進化。サーバサイドレンダリングも可能に
.NET
2023-11-16 03:49
トヨタファイナンス、融資借入手続きをデジタル化–顧客体験と業務効率向上
IT関連
2022-06-02 19:33
Google、オープンソースのメンテナの負担をAIなどで軽減する「Project Oscar」を発表
Google
2024-07-22 16:34
NTTPC、ネットワーク運用の自動化サービスを提供–攻めのDX推進へ
IT関連
2024-05-24 05:06