ソフトウェアの脆弱性は3年間で減少傾向–日本シノプシス調査

今回は「ソフトウェアの脆弱性は3年間で減少傾向–日本シノプシス調査」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 日本シノプシスは、「ソフトウェア脆弱性スナップショット -Webおよびソフトウェア・アプリケーションによく見られる10の脆弱性に関する3年間の分析」レポートを発表した。

 調査を担当した同社のソフトウェア・インテグリティ・グループは「ソフトウェアを開発/提供するための手法の転換を実現する統合ソリューションを提供」している。説明を行ったソフトウェア・インテグリティ・グループ シニア・テクニカル・マーケティング・マネージャの松岡正人氏は「品質とセキュリティの観点で、ソフトウェアのテストツールやコンサルティング・サービスなどを提供している」と説明する。

 同レポートでは、日本シノプシスがシノプシス セキュリティ・テスト・サービスを通じて顧客企業の「Webアプリケーション、モバイル・アプリケーション、ネットワーク・システム、ソース・コードを対象に実施したテストから得られた3年分(2020~2022年)のデータ」が分析されている。セキュリティ関連の年次レポートは多数発表されているが、同レポートでは3年間の推移を見ている点が特徴となる。

 松岡氏は本レポートの分析結果を端的に示すキーワードとして「開発チームの能力向上」と「オープンソースの課題」の2つを挙げた。検出数が多い脆弱(ぜいじゃく)性は「情報流出/漏えいとプライバシー」「設定のミス」「不十分なトランスポート層の保護」の3種。オープンソースソフトウェア(OSS)に関しては、「ソフトウェアの90%にOSSが使用されていることから、その部分のセキュリティチェックが課題」となるとした。

 テスト対象となるアプリケーションは、あらかじめ静的解析(Static Application Security Testing:SAST)を実施した上で、「ブラックボックステストとグレーボックステストの両方を取り入れ、実際の攻撃者同様、動作中のアプリケーションの脆弱性を特定し、トリアージを実施して必要に応じて修正」したという。

 3年間で実際にテストされた結果の66%はペネトレーションテスト(侵入テスト、ペンテストとも)で、さらに動的解析(Dynamic Application Security Testing:DAST)やモバイルアプリケーションに対する解析(Mobile Application Security Testing:MAST)も実施されている。テスト方針について、松岡氏は「開発時に漏れてしまいがちな『攻撃者の視点』を補完するため、攻撃者の振る舞いをシミュレートする動的テストを中心に実行している」と説明した。

 テストの結果では、3年間の平均ではテスト対象のアプリケーションの92%で脆弱性が発見されているが、これを年ごとの推移で見ると、2020年には97%のテストで脆弱性が発見されていたが、2021年には95%、2022年には83%と全体としては減少傾向にあることが分かる。

 この理由として同氏は「AppSecのプラクティスがプログラミングで発生しがちなミスの削減に役立った」「開発環境とテストの統合が進んだ(IDEのプラグイン)」「オープンソースにおいても、多くのコミュニティでコードの精査が進んだ」という3点を指摘し、「開発チームがエラーのないコードを書く能力が高まっている」と分析した。同時に、対象のアプリケーションは基本的にSASTをパスしたものであることから、動的分析を組み合わせた多層的なテストを実施しないと脆弱性の発見に至らない可能性が高いことも指摘された。

 なお、検出が多い脆弱性を深刻度別に見た場合、高リスク脆弱性では「クロスサイトスクリプティング」がトップで、次いで「不十分な認可」が続く。緊急リスク脆弱性では、2位に大差を付けて30%を「SQLインジェクション」が占める結果となっている。2位は高リスク脆弱性と同様に「不十分な認可」だが割合は9%となっている。

 OSS関連では、ソフトウェアのサプライチェーンリスクということでオープンソースライブラリーに含まれる脆弱性が深刻な被害をもたらした事例が多数報告されているにもかかわらず、アプリケーションの内部で使用しているオープンソースライブラリーのバージョン把握などが充分に行われていない傾向が見られたことも指摘された。

 この問題に関してはソフトウェア部品表(Software Bill of Materials:SBOM)が対策として注目されており、松岡氏も「ソフトウェア開発ライフサイクルにSBOMの生成を組み込む」ことを推奨項目の中に含めている。

 調査結果の数字からは、テスト対象のほとんどのアプリケーションに何らかの脆弱性が見つかっている形だが、年ごとの推移を見ると年々脆弱性が見つからないソフトウェアが増えてきていることも確かであり、同氏もこの点を「すごいこと」と強調していた。

 サイバー攻撃による深刻な被害事例が続く中、ソフトウェアの品質を向上させ、セキュリティを高めるための地道な努力によって少しずつではあるが着実に堅牢(けんろう)化していることがうかがえる。

元記事: https://japan.zdnet.com/article/35214717/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
任天堂がロシアへのSwitchほか製品の出荷を停止、理由は「物流が不安定なため」
IT関連
2022-03-12 10:00
7万人以上のITエンジニア調査、好きな言語は「Rust」/期限の制約なく無料で使えるクラウド/C++の後継目指す「Carbon Language」ほか、2022年7月の人気記事
編集後記
2022-08-05 14:15
デジタルキューブ、地方企業の事業承継を支援するクラウドサービスを提供
IT関連
2023-10-21 08:48
2023年に見込まれるテクノロジー投資増–けん引役はクラウド移行の根強い需要
IT関連
2022-12-09 18:04
日立、運用管理ソフト「JP1 V12.5」を販売–SaaS型「JP1 Cloud Service」も提供へ
IT関連
2021-01-22 04:39
DevOpsが抱える課題と可能性–理想を現実にする3つのポイント
IT関連
2022-06-25 04:22
花王とPFN、健康や生活など1600項目以上のデータを推定できる統計モデル「仮想人体生成モデル」プロトタイプを共同開発
IT関連
2022-03-02 13:56
Linuxカーネルを拡張する「eBPF」のWindows対応を進めるマイクロソフト。eBPFの代表的なアプリ「Cilium」をWindowsへ移植
Cloud Native
2022-02-24 08:57
サービスの時代に日本企業はなぜPCのボリュームディスカウントに走るのか?
IT関連
2023-09-08 11:50
炭素排出をなくし、地球に少し休ませる技術に投資するEIPの新ファンド
IT関連
2022-01-28 09:26
noteと博報堂が業務提携、法人向けブランディング支援サービスを共同開発し提供
ネットサービス
2021-04-08 12:16
「Fortran」の人気が再燃?–専門家が考える現状と展望
IT関連
2021-05-17 12:19
AI契約書レビュー支援や契約書管理クラウド提供のLegalForceが30億円を調達
リーガルテック
2021-02-18 15:36
アカマイ、ランサムウェアの横展開をマイクロセグメンテーションで阻止
IT関連
2023-02-28 11:22