ソフトウェア脆弱性スナップショットレポートの調査結果

2024 年の分析では合計 96,917 件の脆弱性が特定され、いくつかの重大な問題が際立っていました。

• 暗号化の失敗(機密データの曝露): このカテゴリには、4,882 件の重大なリスクの事例を含む 30,726 件の脆弱性が含まれています。クライアントの 86% に影響を及ぼし、業界全体で最も一般的で深刻なセキュリティ問題の 1 つとなっています。
• インジェクション脆弱性: このカテゴリでは 4,814 件の脆弱性が見つかり、そのうちの半数以上 (2,491 件) が重大なものでした。SQL インジェクションやクロスサイト スクリプティング (XSS) などのインジェクション脆弱性は、データ盗難やシステム侵害の可能性があるため、重大なセキュリティ上の脅威となります。
• セキュリティの設定ミス: この脆弱性カテゴリは、スキャンされたクライアントの 98% に影響し、36,000 件を超える脆弱性が特定されました。これらの脆弱性の多くは、Black Duck の専門家によって「情報に関するゼ脆弱性」に分類されました (つまり、即時の対応は指示されませんでした) が、依然として潜在的なセキュリティ リスクを表しています。

ブラック・ダックは独自の指標を用いて、Continuous Dynamic によって評価された Web アプリケーションの相対的な「サイトの複雑さ」をランク付けします。複雑さの少ないアプリケーションは、最小限のインタラクションと単純なクロールツリー、つまり、URL の構造が単純である可能性があります。複雑さの高いアプリケーションには、多くのインタラクティブな要素と、動的に生成されるコンテンツが含まれる可能性があります。サイトは、そこに含まれるアプリケーションの複雑さに基づいて、小規模、中規模、大規模にランク付けされます。

「2024 ソフトウェア脆弱性スナップショット」レポートで詳しく説明されているスキャンでは、特に金融および保険セクターにおいて、小規模および中規模の複雑さのサイトの方が、大規模な複雑さのサイトよりも重大な脆弱性が多い傾向がありました。この指標は、多くの組織が、より複雑なアプリケーションが少ないサイトのセキュリティニーズを過小評価していることを示唆しています。数字を分析すると、

• 金融および保険: このセクターは重大な脆弱性の数が最も多く (1,299)、規制の厳しいこのセクターに重大なリスクがあることを示しています。
• ヘルスケアおよび社会扶助: この分野では、重大な脆弱性が 992 件と僅差で続き、患者データの保護と規制の遵守に関する懸念が生じています。
• 情報サービス: この分野では 446 件の重大な脆弱性が記録され、データ中心の業界では堅牢なセキュリティが必要であることが浮き彫りになりました。

このレポートでは、業界によって脆弱性の修正にかかる時間に大きな差があることも明らかになりました。

• 公益事業: この分野の組織は重大な脆弱性の修正に最も時間がかかり、複雑度の低いサイトでは平均 107 日、複雑度が中程度のサイトでは平均 876 日かかりました。
• 教育サービス: この分野でも対応完了までの期間が長く、小規模複雑度サイトでは 342 日、中規模複雑度サイトでは 111 日かかりました。
• 金融および保険: このセクターでは、対応完了までの時間が短く、小規模の複雑度のサイトでは 28 日、中程度の複雑度のサイトでは 53 日、大規模の複雑度のサイトでは 78 日で重大な脆弱性が解消されました。
• ヘルスケアと社会扶助: この分野では、より複雑なサイトで改善が見られました。スキャンの結果、対応完了までの時間は、小規模複雑サイトでは 87 日、中規模複雑サイトでは 30 日、大規模複雑サイトでは 20 日であることが明らかになりました。

これらの違いは、さまざまなセクターにわたるセキュリティイニシアチブに対するリソース割り当てと規制圧力の影響を浮き彫りにしています。