シノプシス・アプリケーション・セキュリティ・テスト・サービスが診断した結果、脆弱性が蔓延していると2021年ソフトウェア脆弱性スナップショットで報告
2022年1月31日 東京発 - シノプシス(Synopsys, Inc.、Nasdaq上場コード:SNPS)は本日、“2021年ソフトウェア脆弱性スナップショット - シノプシス アプリケーション・セキュリティ・テスト・サービスによる分析”を発刊した。このレポートには、2020年に約2,600件のソフトウェアやシステムを対象に実施した約3,900回のテストから得られたデータの分析結果が報告されている。データは、シノプシス・セキュリティ・コンサルタントが顧客のためにシノプシスの分析機関で実施したテストの結果を集積したものである。実行したテストには、ペネトレーション・テスト、動的アプリケーション・セキュリティ・テスト、モバイル・アプリケーション・セキュリティ解析などがあり、現実世界のセキュリティ攻撃を使ってアプリケーションを調査している。
テスト対象のうち、83%はWebアプリケーションもしくはシステム、12%はモバイル・アプリケーション、残りがソースコードもしくはネットワーク・システム/アプリケーションである。対象業界は、ソフトウェアならびにインターネット、金融、ビジネス・サービス、製造、メディアならびにエンターテイメント、医療関係などが含まれる。
シノプシス ソフトウェア・インテグリティ・グループ セキュリティ・コンサルティング担当副社長 Girish Janardhanuduは、次のように述べている。「クラウド展開、最新のテクノロジ・フレームワーク、デリバリーの短期化を背景に、セキュリティ担当者は、ソフトウェア・リリースに合わせたより迅速な対応を迫られています。AppSec担当人員は不足しており、企業/団体はセキュリティ・テストの拡充を柔軟に行うべく、シノプシスが提供しているようなアプリケーション・セキュリティ・テスト・サービスを活用しています。コロナ禍の間も、セキュリティ・アセスメントの需要は非常に高まっています」
約3,900回のテストを実施した結果、調査対象の97%で何らかの脆弱性が検出された。30%は高リスクな脆弱性を抱えており、6%には緊急リスクの脆弱性が潜在していた。このことから、最良のセキュリティ・テストを実行するためには、アプリケーションやシステムに脆弱性が残っていないことを実証するために提供されている幅広いツールを適用する必要があるのは明らかである。例えば、全調査対象の28%からは、クロスサイト・スクリプティング(XSS)に対する脆弱性が検出されている。これは、Webアプリケーションに最も多く見られ、かつ破壊的な高リスク/緊急リスクの脆弱性の1つである。XSSの脆弱性は、多くの場合、実際にアプリケーションが使用されたときにはじめて発覚するものである。
その他の要旨
今回のテストで見つかった脆弱性のうち、アプリケーションとサーバーの設定ミスが全体の21%を占めていた。これはOWASP Top10カテゴリーA05:2021のセキュリティ設定のミスに相当する脆弱性である。また検出された脆弱性の19%は、カテゴリーA01:2021のアクセス制御の不備に関連するものだった。
モバイル・テストで発覚した脆弱性の24%は、データ・ストレージの不安定性に関連するものだった。こうした脆弱性は、物理的手段(盗んだ機器からのアクセスなど)やマルウェアによる攻撃といったモバイル機器への不正アクセスを許す原因となる。またモバイル・テストの53%では、通信の不安定性に関連する脆弱性が明らかになった。
テストで発見された脆弱性の64%は、リスクが最小/低/中程度とされているものだった。これらは、システムや機密データにアクセスするために直接的に利用される性質のものではないが、とはいえ、こうした脆弱性を表面化させることは無駄ではない。低リスクの脆弱性でも攻撃の糸口に悪用される可能性があるからである。例えば、詳細なサーバーバナー(テスト対象の49%から検出されている)は、サーバー名/タイプ/バージョン番号といった情報を公開する元となるため、特定のテクノロジー・スタックを狙った攻撃を許す要因となる。
注目すべきは、脆弱なサードパーティ・ライブラリの使用数である。シノプシス・アプリケーション・セキュリティ・テスト・サービスが実施したペネトレーション・テストの結果、対象の18%で検出された。これはOWASP Top10カテゴリーA06:2021の脆弱で古くなったコンポーネントの使用に相当する脆弱性である。ほとんどの企業/団体では、独自開発コード、入手が容易な商用オフザシェルフ・コード、オープンソース・コンポーネントを組み合わせて、販売目的もしくは社内使用のソフトウェアを開発している。こうした企業/団体の多くは、自社のソフトウェアに組み込まれているコンポーネント、それらのライセンス、バージョン、パッチのステータスなどの詳細を正確に記した目録を正式な形で作成していない、もしくは作成すらしていない。多くの企業/団体が使用している数百ものアプリケーションやソフトウェア・システムには、数百あるいは数千ものサードパーティ・コンポーネントやオープンソース・コンポーネントが組み込まれているケースが多い。こうしたコンポーネントを効果的に追跡するためには、正確かつ最新のソフトウェア部品表(SBOM)の整備が急務である。
“2021年ソフトウェア脆弱性スナップショット - シノプシス アプリケーション・セキュリティ・テスト・サービスによる分析”は、下記よりダウンロード可能。
ブログには、下記よりアクセス可能。
シノプシス ソフトウェア・インテグリティ・グループについて
シノプシスのソフトウェア・インテグリティ・グループは、開発チームが安全で高品質のソフトウェアを構築し、リスクを最小限に抑えながら開発スピードと生産性を最大化することを支援している。アプリケーション・セキュリティのリーディング・カンパニーとして認められているシノプシスは、静的解析、ソフトウェア・コンポジション解析、および動的解析ソリューションを提供し、チームが独自開発しているコード、オープンソース・コンポーネント、およびアプリケーションの動作の中に潜む脆弱性や不具合をすばやく特定/修正できるようにする。業界をリードするツール、サービス、ならびに専門技術の組み合わせにより、企業/団体がDevSecOpsの中で、またソフトウェア開発ライフサイクルを通じて、セキュリティと品質を最適化できるよう支援している企業はシノプシスのみである。
詳細な情報は、https://www.synopsys.com/ja-jp/software-integrity.htmlより入手可能。
シノプシスについて
Synopsys, Inc.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体設計からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子設計自動化(EDA)ソリューションならびに半導体設計資産(IP)のグローバル・リーディング・カンパニーとして長年にわたる実績を持ち、業界で最も広範囲をカバーしたアプリケーション・セキュリティ・テスティング・ソリューションならびにサービスを提供しているS&P 500カンパニーである。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)設計者、よりセキュアでハイ・クオリティなコードを開発しているソフトウェア開発者に、革新的製品の開発に欠かせないソリューションを提供している。
詳細情報は、https://www.synopsys.com/ja-jpより入手可能。
# # #
Synopsysは、Synopsys, Inc.の登録商標または商標です。
その他の商標や登録商標は、それぞれの所有者の知的財産です。
<お問い合わせ先>
日本シノプシス合同会社 ソフトウェア・インテグリティ・グループPR事務局
(井之上パブリックリレーションズ内)
担当:塚田・渡辺
Email:synopsys@inoue-pr.com