シノプシス調査、アプリケーションの97%に脆弱性が潜み36%は緊急リスクまたは高リスクに分類

シノプシス・アプリケーション・セキュリティ・テスト・サービスが診断した結果、脆弱性が蔓延していると2021年ソフトウェア脆弱性スナップショットで報告

シノプシスは本日、“2021年ソフトウェア脆弱性スナップショット － シノプシス アプリケーション・セキュリティ・テスト・サービスによる分析”を発刊した。このレポートには、2020年に約2,600件のソフトウェアやシステムを対象に実施した約3,900回のテストから得られたデータの分析結果が報告されている。
データは、シノプシス・セキュリティ・コンサルタントが顧客のためにシノプシスの分析機関で実施したテストの結果を集積したものである。実行したテストには、ペネトレーション・テスト、動的アプリケーション・セキュリティ・テスト、モバイル・アプリケーション・セキュリティ解析などがあり、現実世界のセキュリティ攻撃を使ってアプリケーションを調査している。
　　　　　
テスト対象のうち、83%はWebアプリケーションもしくはシステム、12%はモバイル・アプリケーション、残りがソースコードもしくはネットワーク・システム/アプリケーションである。対象業界は、ソフトウェアならびにインターネット、金融、ビジネス・サービス、製造、メディアならびにエンターテイメント、医療関係などが含まれる。
　　　　　
シノプシス　ソフトウェア・インテグリティ・グループ　セキュリティ・コンサルティング担当副社長　Girish Janardhanuduは、次のように述べている。
「クラウド展開、最新のテクノロジ・フレームワーク、デリバリーの短期化を背景に、セキュリティ担当者は、ソフトウェア・リリースに合わせたより迅速な対応を迫られています。AppSec担当人員は不足しており、企業/団体はセキュリティ・テストの拡充を柔軟に行うべく、シノプシスが提供しているようなアプリケーション・セキュリティ・テスト・サービスを活用しています。コロナ禍の間も、セキュリティ・アセスメントの需要は非常に高まっています」
　　　　　　
約3,900回のテストを実施した結果、調査対象の97%で何らかの脆弱性が検出された。30%は高リスクな脆弱性を抱えており、6%には緊急リスクの脆弱性が潜在していた。このことから、最良のセキュリティ・テストを実行するためには、アプリケーションやシステムに脆弱性が残っていないことを実証するために提供されている幅広いツールを適用する必要があるのは明らかである。例えば、全調査対象の28%からは、クロスサイト・スクリプティング（XSS）に対する脆弱性が検出されている。
これは、Webアプリケーションに最も多く見られ、かつ破壊的な高リスク/緊急リスクの脆弱性の1つである。XSSの脆弱性は、多くの場合、実際にアプリケーションが使用されたときにはじめて発覚するものである。
　　　　　
その他の要旨
●2021 OWASP Top10で知られるWebアプリケーション脆弱性が調査対象の76%で検出
今回のテストで見つかった脆弱性のうち、アプリケーションとサーバーの設定ミスが全体の21%を占めていた。これはOWASP Top10カテゴリーA05:2021のセキュリティ設定のミスに相当する脆弱性である。また検出された脆弱性の19%は、カテゴリーA01:2021のアクセス制御の不備に関連するものだった。
　　　　　
●データ・ストレージと通信の不安定性に起因する脆弱性がモバイル・アプリケーションを脅かしている
モバイル・テストで発覚した脆弱性の24%は、データ・ストレージの不安定性に関連するものだった。こうした脆弱性は、物理的手段（盗んだ機器からのアクセスなど）やマルウェアによる攻撃といったモバイル機器への不正アクセスを許す原因となる。またモバイル・テストの53%では、通信の不安定性に関連する脆弱性が明らかになった。
　　　　　　
●低リスクの脆弱性でも攻撃の糸口に悪用される可能性がある
テストで発見された脆弱性の64%は、リスクが最小/低/中程度とされているものだった。これらは、システムや機密データにアクセスするために直接的に利用される性質のものではないが、とはいえ、こうした脆弱性を表面化させることは無駄ではない。低リスクの脆弱性でも攻撃の糸口に悪用される可能性があるからである。例えば、詳細なサーバーバナー（テスト対象の49%から検出されている）は、サーバー名/タイプ/バージョン番号といった情報を公開する元となるため、特定のテクノロジー・スタックを狙った攻撃を許す要因となる。
　　　　　　
●ソフトウェア部品表（SBOM）の整備が急務
注目すべきは、脆弱なサードパーティ・ライブラリの使用数である。シノプシス・アプリケーション・セキュリティ・テスト・サービスが実施したペネトレーション・テストの結果、対象の18%で検出された。これはOWASP Top10カテゴリーA06:2021の脆弱で古くなったコンポーネントの使用に相当する脆弱性である。
ほとんどの企業/団体では、独自開発コード、入手が容易な商用オフザシェルフ・コード、オープンソース・コンポーネントを組み合わせて、販売目的もしくは社内使用のソフトウェアを開発している。
こうした企業/団体の多くは、自社のソフトウェアに組み込まれているコンポーネント、それらのライセンス、バージョン、パッチのステータスなどの詳細を正確に記した目録を正式な形で作成していない、もしくは作成すらしていない。多くの企業/団体が使用している数百ものアプリケーションやソフトウェア・システムには、数百あるいは数千ものサードパーティ・コンポーネントやオープンソース・コンポーネントが組み込まれているケースが多い。こうしたコンポーネントを効果的に追跡するためには、正確かつ最新のソフトウェア部品表（SBOM）の整備が急務である。
　　　　　
　　　　　
“2021年ソフトウェア脆弱性スナップショット － シノプシス アプリケーション・セキュリティ・テスト・サービスによる分析”は、下記よりダウンロード可能。
https://www.synopsys.com/ja-jp/software-integrity/resources/reports/software-vulnerability-trends.html?cmp=pr-sig&utm_medium=referral

シノプシス　ソフトウェア・インテグリティ・グループ
https://www.synopsys.com/ja-jp/software-integrity.html
シノプシス
https://www.synopsys.com/ja-jp