ソフトウェア部品表の整備が急務–シノプシスが脆弱性検査動向を発表

今回は「ソフトウェア部品表の整備が急務–シノプシスが脆弱性検査動向を発表」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 日本シノプシスは1月25日、2022年に実施した2700件のソフトウェアのセキュリティテストについて結果の動向を発表した。対象アプリケーションの95%で脆弱(ぜいじゃく)性が検出されたと報告している。

 テスト対象の内訳は、82%がウェブアプリケーションおよびシステム、13%がモバイルアプリケーション、残りはソースコードやネットワークシステム/アプリケーションになる。ペネトレーション(疑似侵入)テストや動的なアプリケーションセキュリティテスト(DAST)、モバイルアプリケーションセキュリティテスト(MAST)などの方法で、これらのアプリケーション検査を4300回以上実施したという。

 これによると、調査対象の95%で何らかの脆弱性が検出(前年調査から2%減)され、そのうち20%(同10%減)は高リスク、4.5%(同1.5%減)は緊急リスクに分類されるものだった。72%が低/中程度リスクに分類されるものだったが、同社は、「低リスクの脆弱性でも攻撃の糸口に悪用される可能性がある」と指摘。例えば、ペネトレーションテスト対象の42%、DAST対象の49%からサーバー名やタイプ、バージョン番号などのサーバーバナーが検出され、こうした情報がサイバー攻撃者に悪用されかねないとした。

 また、脆弱性の内容では、アプリケーションとサーバーの設定ミスが全体の18%(同3%減)を占めた。また調査対象の78%で、Open Web Application Security Project(OWASP)が指摘するウェブアプリケーションの脆弱性の上位10種に該当するものが検出された。対象の22%からクロスサイトスクリプティング(XSS)の脆弱性が検出されたが、前年調査から6%減少し、「本番アプリケーションに潜在するXSS脆弱性を最小化するための対策に、企業や団体が積極的に取り組んでいる様子がうかがえる」(同社)という。

 さらにペネトレーションテストの結果では、対象の21%で脆弱なサードパーティーライブラリーの使用が見つかり、前年調査から3%増加した。

 同社は、ほとんどの企業や団体で独自開発コード、入手が容易な商用オフザシェルフコード、オープンソースコンポーネントを組み合わせて販売目的あるいは社内使用のソフトウェアが開発されているとし、こうした組織の多くが、ソフトウェアに組み込まれているコンポーネントのライセンスやバージョン、パッチのステータスなどの詳細を正確に記した目録を正式な形で作成していないか、目録自体を作成すらしていないと警鐘を鳴らす。

 こうした組織では、数百あるいは数千ものサードパーティーコンポーネントやオープンソースコンポーネントが組み込まれていることが多く、「コンポーネントの状態を効果的に追跡するためには、正確かつ最新のソフトウェア部品表(SBOM)の整備が急務だ」(同社)と指摘している。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
NEC森田新社長が経営方針会見で見せた「攻めの姿勢」とは
IT関連
2021-05-21 16:11
架空の利用料請求で5億円超詐取か 通信事業会社元社長ら逮捕
IT関連
2021-04-17 08:37
レデイ薬局、松山大キャンパス内に無人店舗開業へ–隙間時間での買い物実現
IT関連
2024-10-02 22:06
DeepMind、核融合炉におけるプラズマ制御を実現するAIを開発
IT関連
2022-02-19 07:00
中外製薬、パナソニックのPCサブスクで1万650台をリプレース
IT関連
2024-12-12 16:11
ベロシティ Deep Dive。スクラムにおけるベロシティのアンチパターンと適切な使い方とは(後編)
アジャイル開発
2024-02-26 11:15
「GPT-4」採用のセキュリティ製品、「Microsoft Security Copilot」が登場
IT関連
2023-03-30 07:44
オンライン本人確認・eKYCサービスとデジタル身分証アプリを提供するTRUSTDOCKが13億円調達
セキュリティ
2021-06-26 10:06
日本オラクル、「OCI」のアップデートを解説–VMware環境、セキュリティ分野など
IT関連
2022-05-31 12:14
DeepL、PDF翻訳を欧州の自社サーバーで
IT関連
2023-05-13 00:16
NECグループが果たすべき役割を自覚し社会価値の提供を加速–NEC・森田社長
IT関連
2025-01-09 23:57
まだまだ続く日本の働き方改革。リモートの現実とこれから。
オンラインカジノ
2021-07-12 11:19
コードを読んでリポジトリ名を当てろ! プログラマ向けゲーム「GitHub-Guessr」が登場
GitHub
2023-09-19 15:08
Yahoo! Japanが欧州からのアクセスを4月6日午前11時から遮断、サービス利用不可に
IT関連
2022-02-03 14:10