アプリケーションの95%に脆弱性が潜み、25%は緊急リスクまたは高リスクに分類－シノプシス調査

シノプシスのアプリケーション・セキュリティ・テスト・サービスとサイバーセキュリティ・リサーチ・センターが診断、2022年ソフトウェア脆弱性スナップショットで報告

シノプシスは、“ソフトウェア脆弱性スナップショット － Webアプリケーションによく見られる10の脆弱性”を発刊した。このレポートでは、Webアプリケーション、モバイル・アプリケーション、ソースコード・ファイル、ネットワーク・システム（ソフトウェアやシステム）などの2,700件のソフトウェアを対象に実施した4,300回超のセキュリティ・テストから得られたデータの分析結果が報告されている。
今回の調査で使用したセキュリティ・テスト手法は、実際のセキュリティ攻撃を想定した環境でのアプリケーションの実行結果を証明できるように設定されたペネトレーション・テスト、動的アプリケーション・セキュリティ・テスト（DAST）、モバイル・アプリケーション・セキュリティ・テスト（MAST）などの侵入型“ブラックボックス”ないし“グレーボックス”テストである。
　　　　　
テスト対象のうち、82%はWebアプリケーション/システム、13%はモバイル・アプリケーション、残りがソースコードもしくはネットワーク・システム/アプリケーションである。対象業界には、ソフトウェア/インターネット、金融サービス、ビジネス・サービス、製造、消費者サービスならびに医療などが含まれる。
　　　　　　
4,300回超のテストを実施した結果、調査対象の95%で何らかの脆弱性が検出された（昨年の調査から2%減少）。20%は高リスクな脆弱性を抱えており（昨年の調査から10%減少）、4.5%には緊急リスクの脆弱性が潜在していた（昨年の調査から1.5%減少）。
　　　　　
このことから、最良のセキュリティ・テストを実行するためには、アプリケーションやシステムに脆弱性が残っていないことを実証するために提供されている幅広いツール（静的解析ツール、動的解析ツール、ソフトウェア・コンポジション解析ツールなど）を適用する必要があるのは明らかである。例えば、全調査対象の22%からは、クロスサイト・スクリプティング（XSS）に対する脆弱性が検出されている。これは、Webアプリケーションに最も多く見られ、かつ破壊的な高リスク/緊急リスクの脆弱性の1つである。XSSの脆弱性は、多くの場合、実際にアプリケーションが使用されたときに発覚するものである。改善点として、この脆弱性の存在が昨年の調査から6%減少している点が挙げられる。本番アプリケーションに潜在するXSS脆弱性を最小化するための対策に、企業/団体が積極的に取り組んでいる様子が伺われる。
　　　　　
シノプシス　ソフトウェア・インテグリティ・グループ　セキュリティ・コンサルティング担当副社長　Girish Janardhanuduは、次のように述べている。
「DASTに代表される侵入型ブラックボックス・テストや、ペネトレーション・テストが、悪用されかねない脆弱性をソフトウェア開発ライフサイクルの中で表面化させるのにとりわけ有効であること、また包括的なアプリケーション・セキュリティ・テスト実行計画の一部に組み込まれるべきものであることが、今回の調査から明らかとなっています」
　　　　　
その他の要旨
●OWASP Top10で知られるWebアプリケーション脆弱性が調査対象の78%で検出
今回のテストで見つかった脆弱性のうち、アプリケーションとサーバーの設定ミスが全体の18%を占めていた（昨年の調査から3%減少）。これはOWASP Top10カテゴリの「A05:2021-セキュリティ設定のミス」に相当する脆弱性である。また検出された脆弱性の18%は、カテゴリ「A01:2021-アクセス制御の不備」に関連するものだった（昨年の調査から1%減少）。
　　　　　
●ソフトウェア部品表（SBOM）の整備が急務
ペネトレーション・テストの結果、脆弱なサードパーティ・ライブラリの使用数は、対象の21%で検出された（昨年の調査から3%増加）。これは2021 OWASP Top10のカテゴリでは「A06:2021-脆弱で古くなったコンポーネントの使用」に相当する脆弱性である。
ほとんどの企業/団体では、独自開発コード、入手が容易な商用オフザシェルフ・コード、オープンソース・コンポーネントを組み合わせて、販売目的もしくは社内使用のソフトウェアを開発している。こうした企業/団体の多くは、自社のソフトウェアに組み込まれているコンポーネント、それらのライセンス、バージョン、パッチのステータスなどの詳細を正確に記した目録を正式な形で作成していない、もしくは目録自体を作成すらしていない。多くの企業/団体が使用している数百ものアプリケーションやソフトウェア・システムには、数百あるいは数千ものサードパーティ・コンポーネントやオープンソース・コンポーネントが組み込まれているケースが多い。こうしたコンポーネントを効果的に追跡するためには、正確かつ最新のソフトウェア部品表（SBOM）(＊6)の整備が急務である。
　　　　　　　
●低リスクの脆弱性でも攻撃の糸口に悪用される可能性がある
テストで発見された脆弱性の72%は、リスクが低/中程度とされているものだった。これらは、システムや機密データにアクセスするために直接的に利用される性質のものではないが、とはいえ、こうした脆弱性を再度表面化させることは無駄ではない。低リスクの脆弱性でも攻撃の糸口に悪用される可能性があるからである。例えば、詳細なサーバーバナー（DASTテスト対象の49%ならびにペネトレーション・テスト対象の42%から検出されている）は、サーバー名/タイプ/バージョン番号といった情報を公開する元となるため、特定のテクノロジー・スタックを狙った攻撃を許す要因となる。
　　　　　　　
シノプシス　ソフトウェア・インテグリティ・グループについて
シノプシスのソフトウェア・インテグリティ・グループは、ソフトウェアを開発/提供するための手法の転換を実現する統合ソリューションを提供している。これにより開発チームは、リスクを最小限に抑えながらイノベーションを加速することが可能となる。シノプシスが業界をリードするソフトウェア・セキュリティ対策ツール・ポートフォリオならびにサービスは、世界で最も包括的なソリューションであるだけでなく、サードパーティー並びにオープンソースのツールとの相互運用も実現している。そのため、企業/団体は、現在使用している開発ソリューションを活用しつつ、自社に最適なセキュリティ対策手法を構築することができる。ソフトウェアの信頼性確保に必要となるあらゆる開発ソリューションを提供している企業はシノプシスのみである。
https://www.synopsys.com/ja-jp/software-integrity.html
　　　　　
シノプシス
https://www.synopsys.com/ja-jp