年1000件超の診断から見たウェブアプリケーションに作り込まれやすい脆弱性–後編

今回は「年1000件超の診断から見たウェブアプリケーションに作り込まれやすい脆弱性–後編」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 ウェブアプリケーションに作り込まれやすい脆弱性とは何だと思いますか。セキュリティ企業のラックでは、年間1000件を超えるウェブアプリケーション診断(以下、Web診断)を実施しています。ラックが報告した脆弱性を分析してみると、「ウェブアプリケーションに作り込まれやすい脆弱性は何か?」の傾向が見えてきました。

 2021~2022年に提供したWeb診断サービスについて、主にリピーターの顧客によく利用される「Webアプリケーション診断アドバンスト・ハイブリッド・ライト」と、主に新規の顧客によく利用される「DiaForceWebアプリケーション診断安全点検パック・エクスプレス」の診断結果を分けて集計することで、統計情報に新しい発見があるかを考察しました。そんなWeb診断の統計結果と専門家の一意見を前後編に分けて読者の皆さんに共有します。今回は後編です。

 なお今回掲載している診断結果では、ラックにて重要度や深刻度が高いと定める「Mediumリスク以上(Medium、High、Critical)の脆弱性」を集計しています。

 記事全体のポイントは以下の通りです(前編と同様)。まず2021~2022年のWeb診断サービスの統計結果から分かったことは、次の点です。

 次に、ウェブアプリケーションに作り込まれやすい脆弱性として特に注目しておきたいものは以下の4点です。

 最後は、ウェブアプリケーションのセキュリティ対策で重要なことは、「これだけやっておけばいい」という線引きはないということです(効率良くセキュリティ対策を盛り込むには、仕様策定フェーズと設計フェーズにおいて検討する必要がある)。

 後編となる本稿では、新規の顧客における2022年(4~9月)の診断結果(脆弱性検出状況)を見ていきます。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
GMやPalantirが出資するコネクテッドカーデータ分析のWejoがSPAC経由で上場へ
モビリティ
2021-05-30 14:45
「Dart 3」が来年登場。完全Nullセーフな言語となり、Nullセーフティなしの実行はサポート外に
Dart
2022-12-27 00:56
テレビCMを郵便番号でターゲティング、地域に合わせて情報発信 中京テレビ
企業・業界動向
2021-08-17 08:55
科学者が分子構造をVRで共有し研究におけるコラボを促進させるNanomeが3.1億円調達
VR / AR / MR
2021-02-11 20:01
企業、テレワークで疲弊 拡大・継続は困難?
連載チーム
2021-08-21 00:44
マイクロソフト受注の米国防総省「JEDI」クラウド、判事がアマゾンの異議棄却せず
IT関連
2021-04-30 08:56
rinna、日本語に特化した「GPT-2」の言語モデルをオープンソース化 学習済みモデルも公開
ロボット・AI
2021-04-09 05:44
グーグル、「Android」デバイスベンダーによる「パッチの遅れ」に警鐘
IT関連
2022-11-29 21:43
ヴイエムウェアが注力する「デジタルファウンデーション」とは何か
IT関連
2021-05-07 14:48
コロナ禍でも「データドリブン組織はレジリエンスがある」–タブロー調査
IT関連
2021-01-21 23:50
Q&Aサイト「Stack Overflow」がオフライン対応を発表。ネットの通じない場所や回線が貧弱な発展途上国などでも参照可能に
StackOverflow
2022-10-24 23:59
Googleフォト内に「セブン-イレブンで印刷する」機能 L判1枚40円
ネットトピック
2021-05-26 02:17
英Arm、フラグシップCPU「Cortex-X2」発表 「Armv9を基にシステム全体の性能向上目指す」
企業・業界動向
2021-05-27 19:15
アップルがiPhoneやiPad、Watch向けにゼロデイ脆弱性に対するセキュリティアップデートをリリース
セキュリティ
2021-03-29 05:23