2024年1月30日 東京発 - シノプシス(Synopsys, Inc.、Nasdaq上場コード:SNPS)は本日、“ソフトウェア脆弱性スナップショット –Webおよびソフトウェア・アプリケーションによく見られる10の脆弱性に関する3年間の分析”を発刊した。シノプシス・サイバーセキュリティ・リサーチ・センター(CyRC)が分析したデータによると、調査対象のアプリケーションから脆弱性が検出された割合は、2020年の97%から2022年には83%へと大幅に減少しており、コード・レビュー、自動テスト、継続的インテグレーションの実施が一般的なプログラミング・エラーの減少に寄与していることがうかがえる。
本レポートには、シノプシス セキュリティ・テスト・サービスがWebアプリケーション、モバイル・アプリケーション、ネットワーク・システム、ソース・コードを対象に実施したテストから得られた3年分(2020~22年)のデータが詳細に掲載されている。テストは、ペネトレーション・テスト、動的アプリケーション・セキュリティ・テスト(DAST)、モバイル・アプリケーション・セキュリティ・テスト(MAST)、ネットワーク・セキュリティ・テストなど、複数のセキュリティ・テスト手法を駆使して、実際の攻撃者と同じように実行中のアプリケーションに対して実施した。
今回の結果は業界にとってポジティブな進展と言える一方で、このデータからは、静的アプリケーション・セキュリティ・テスト(SAST)のような単一のセキュリティ・テスト・ソリューションのみに依存することは、もはやアプローチとして十分ではないことも読み取れる。例えば、サーバーの設定ミスは、3 年間のテストで発見された脆弱性全体の平均 18%に相当する。コーディングの欠陥を特定するSAST、実行中のアプリケーションを検査するDAST、サードパーティのコンポーネントによって導入された脆弱性を特定するソフトウェア・コンポジション解析(SCA)、内部テストで見落とされている可能性のある問題を特定するペネトレーション・テストを組み合わせた多層的なセキュリティ・アプローチがなければ、この種の脆弱性は検出されない可能性が高い。
シノプシス ソフトウェア・インテグリティ・グループ ジェネラル・マネージャー Jason Schmittは、次のように述べている。「ここ数年で初めて、ソフトウェアに潜む既知の脆弱性の件数が減少しました。これは、企業/団体がセキュリティ対策に真剣に取り組み、継続的な効果を得るためにソフトウェア・セキュリティに対する戦略的かつ全体的なアプローチに重きを置いていることを示すものであり、新たな希望と言えるでしょう。ハッカーの手口は巧妙化しており、ソフトウェア・リスクの所在を特定し、脆弱性の悪用からビジネスを守るためには、多層的なセキュリティ・アプローチがこれまで以上に必要とされています」
ソフトウェア脆弱性スナップショットの要旨
過去3年間の平均では、実施したテストの92%で何らかの脆弱性が検出されたが、そのうち重大度が高の脆弱性は27%、重大度が緊急の脆弱性は6.2%であった。重大度が高の脆弱性は2021年から22年にかけて5ポイント増加し、緊急の脆弱性は2022年(6.7%)に最高を記録した。
発覚したセキュリティ問題のトップは、2020年から22年にかけて変わらず、情報漏えいリスクだった。これは、機密情報が権限のない第三者に漏洩した場合に発生する重大なセキュリティ問題である。3年間のテストで見つかった脆弱性全体の平均19%が情報漏えいの問題に直接関連している。
2022年に発見された高リスク脆弱性のうち、19%がクロスサイト・スクリプティング攻撃の影響を受けやすいことが判明した。
サードパーティ製ソフトウェアのリスクが高まる
2022年のセキュリティ問題トップ10のうち、「脆弱なサードパーティ・ライブラリの使用」は実施したテストの25%から検出された。サードパーティやオープンソースのコンポーネントを含め、使用している全てのコンポーネントのバージョンを把握していない場合、ソフトウェアは脆弱となる可能性が高い。
“ソフトウェア脆弱性スナップショット – Webおよびソフトウェア・アプリケーションによく見られる10の脆弱性に関する3年間の分析”は、下記よりダウンロード可能。
https://www.blackduck.com/ja-jp/resources/analyst-reports/software-vulnerability-trends.html
ブログには、下記よりアクセス可能。
https://www.blackduck.com/ja-jp/blog/software-vulnerability-snapshot-report-findings.html
シノプシス ソフトウェア・インテグリティ・グループについて
シノプシスのソフトウェア・インテグリティ・グループは、ソフトウェアを開発/提供するための手法の転換を実現する統合ソリューションを提供している。これにより開発チームは、リスクを最小限に抑えながらイノベーションを加速することが可能となる。シノプシスが業界をリードするソフトウェア・セキュリティ対策ツール・ポートフォリオならびにサービスは、世界で最も包括的なソリューションであるだけでなく、サードパーティー並びにオープンソースのツールとの相互運用も実現している。そのため、企業/団体は、現在使用している開発ソリューションを活用しつつ、自社に最適なセキュリティ対策手法を構築することができる。ソフトウェアの信頼性確保に必要となるあらゆる開発ソリューションを提供している企業はシノプシスのみである。
詳細な情報は、https://www.synopsys.com/ja-jp/software-integrity.htmlより入手可能。
シノプシスについて
Synopsys, Inc.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体設計からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子設計自動化(EDA)ソリューションならびに半導体設計資産(IP)のグローバル・リーディング・カンパニーとして長年にわたる実績を持ち、業界で最も広範囲をカバーしたアプリケーション・セキュリティ・テスティング・ソリューションならびにサービスを提供しているS&P 500カンパニーである。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)設計者、よりセキュアでハイ・クオリティなコードを開発しているソフトウェア開発者に、革新的製品の開発に欠かせないソリューションを提供している。
詳細情報は、https://www.synopsys.com/ja-jpより入手可能。
# # #
Synopsysは、Synopsys, Inc.の登録商標または商標です。
その他の商標や登録商標は、それぞれの所有者の知的財産です。
<お問い合わせ先>
日本シノプシス合同会社 ソフトウェア・インテグリティ・グループPR事務局
(井之上パブリックリレーションズ内)
担当:塚田・増田
Email:[email protected]