年1000件超の診断から見たウェブアプリケーションに作り込まれやすい脆弱性–後編

今回は「年1000件超の診断から見たウェブアプリケーションに作り込まれやすい脆弱性–後編」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　ウェブアプリケーションに作り込まれやすい脆弱性とは何だと思いますか。セキュリティ企業のラックでは、年間1000件を超えるウェブアプリケーション診断（以下、Web診断）を実施しています。ラックが報告した脆弱性を分析してみると、「ウェブアプリケーションに作り込まれやすい脆弱性は何か？」の傾向が見えてきました。

　2021～2022年に提供したWeb診断サービスについて、主にリピーターの顧客によく利用される「Webアプリケーション診断アドバンスト・ハイブリッド・ライト」と、主に新規の顧客によく利用される「DiaForceWebアプリケーション診断安全点検パック・エクスプレス」の診断結果を分けて集計することで、統計情報に新しい発見があるかを考察しました。そんなWeb診断の統計結果と専門家の一意見を前後編に分けて読者の皆さんに共有します。今回は後編です。

　なお今回掲載している診断結果では、ラックにて重要度や深刻度が高いと定める「Mediumリスク以上（Medium、High、Critical）の脆弱性」を集計しています。

　記事全体のポイントは以下の通りです（前編と同様）。まず2021～2022年のWeb診断サービスの統計結果から分かったことは、次の点です。

　次に、ウェブアプリケーションに作り込まれやすい脆弱性として特に注目しておきたいものは以下の4点です。

　最後は、ウェブアプリケーションのセキュリティ対策で重要なことは、「これだけやっておけばいい」という線引きはないということです（効率良くセキュリティ対策を盛り込むには、仕様策定フェーズと設計フェーズにおいて検討する必要がある）。

　後編となる本稿では、新規の顧客における2022年（4～9月）の診断結果（脆弱性検出状況）を見ていきます。