シノプシスのアプリケーション・セキュリティ・テスト・サービスとサイバーセキュリティ・リサーチ・センターが診断した結果、脆弱性が蔓延していると2022年ソフトウェア脆弱性スナップショットで報告
2023年1月25日 東京発 - シノプシス(Synopsys, Inc.、Nasdaq上場コード:SNPS)は本日、“ソフトウェア脆弱性スナップショット - Webアプリケーションによく見られる10の脆弱性”を発刊した。このレポートでは、Webアプリケーション、モバイル・アプリケーション、ソースコード・ファイル、ネットワーク・システム(ソフトウェアやシステム)などの2,700件のソフトウェアを対象に実施した4,300回超のセキュリティ・テストから得られたデータの分析結果が報告されている。今回の調査で使用したセキュリティ・テスト手法は、実際のセキュリティ攻撃を想定した環境でのアプリケーションの実行結果を証明できるように設定されたペネトレーション・テスト、動的アプリケーション・セキュリティ・テスト(DAST)、モバイル・アプリケーション・セキュリティ・テスト(MAST)などの侵入型“ブラックボックス”ないし“グレーボックス”テストである。
テスト対象のうち、82%はWebアプリケーション/システム、13%はモバイル・アプリケーション、残りがソースコードもしくはネットワーク・システム/アプリケーションである。対象業界には、ソフトウェア/インターネット、金融サービス、ビジネス・サービス、製造、消費者サービスならびに医療などが含まれる。
4,300回超のテストを実施した結果、調査対象の95%で何らかの脆弱性が検出された(昨年の調査から2%減少)。20%は高リスクな脆弱性を抱えており(昨年の調査から10%減少)、4.5%には緊急リスクの脆弱性が潜在していた(昨年の調査から1.5%減少)。
このことから、最良のセキュリティ・テストを実行するためには、アプリケーションやシステムに脆弱性が残っていないことを実証するために提供されている幅広いツール(静的解析ツール、動的解析ツール、ソフトウェア・コンポジション解析ツールなど)を適用する必要があるのは明らかである。例えば、全調査対象の22%からは、クロスサイト・スクリプティング(XSS)に対する脆弱性が検出されている。これは、Webアプリケーションに最も多く見られ、かつ破壊的な高リスク/緊急リスクの脆弱性の1つである。XSSの脆弱性は、多くの場合、実際にアプリケーションが使用されたときに発覚するものである。改善点として、この脆弱性の存在が昨年の調査から6%減少している点が挙げられる。本番アプリケーションに潜在するXSS脆弱性を最小化するための対策に、企業/団体が積極的に取り組んでいる様子が伺われる。
シノプシス ソフトウェア・インテグリティ・グループ セキュリティ・コンサルティング担当副社長 Girish Janardhanuduは、次のように述べている。「DASTに代表される侵入型ブラックボックス・テストや、ペネトレーション・テストが、悪用されかねない脆弱性をソフトウェア開発ライフサイクルの中で表面化させるのにとりわけ有効であること、また包括的なアプリケーション・セキュリティ・テスト実行計画の一部に組み込まれるべきものであることが、今回の調査から明らかとなっています」
その他の要旨
OWASP Top10で知られるWebアプリケーション脆弱性が調査対象の78%で検出
今回のテストで見つかった脆弱性のうち、アプリケーションとサーバーの設定ミスが全体の18%を占めていた(昨年の調査から3%減少)。これはOWASP Top10カテゴリの「A05:2021-セキュリティ設定のミス」に相当する脆弱性である。また検出された脆弱性の18%は、カテゴリ「A01:2021-アクセス制御の不備」に関連するものだった(昨年の調査から1%減少)。
ソフトウェア部品表(SBOM)の整備が急務
ペネトレーション・テストの結果、脆弱なサードパーティ・ライブラリの使用数は、対象の21%で検出された(昨年の調査から3%増加)。これは2021 OWASP Top10のカテゴリでは「A06:2021-脆弱で古くなったコンポーネントの使用」に相当する脆弱性である。ほとんどの企業/団体では、独自開発コード、入手が容易な商用オフザシェルフ・コード、オープンソース・コンポーネントを組み合わせて、販売目的もしくは社内使用のソフトウェアを開発している。こうした企業/団体の多くは、自社のソフトウェアに組み込まれているコンポーネント、それらのライセンス、バージョン、パッチのステータスなどの詳細を正確に記した目録を正式な形で作成していない、もしくは目録自体を作成すらしていない。多くの企業/団体が使用している数百ものアプリケーションやソフトウェア・システムには、数百あるいは数千ものサードパーティ・コンポーネントやオープンソース・コンポーネントが組み込まれているケースが多い。こうしたコンポーネントを効果的に追跡するためには、正確かつ最新のソフトウェア部品表(SBOM)の整備が急務である。
低リスクの脆弱性でも攻撃の糸口に悪用される可能性がある
テストで発見された脆弱性の72%は、リスクが低/中程度とされているものだった。これらは、システムや機密データにアクセスするために直接的に利用される性質のものではないが、とはいえ、こうした脆弱性を再度表面化させることは無駄ではない。低リスクの脆弱性でも攻撃の糸口に悪用される可能性があるからである。例えば、詳細なサーバーバナー(DASTテスト対象の49%ならびにペネトレーション・テスト対象の42%から検出されている)は、サーバー名/タイプ/バージョン番号といった情報を公開する元となるため、特定のテクノロジー・スタックを狙った攻撃を許す要因となる。
“ソフトウェア脆弱性スナップショット - Webアプリケーションによく見られる10の脆弱性”は、下記よりダウンロード可能。
ブログには、下記よりアクセス可能。
シノプシス ソフトウェア・インテグリティ・グループについて
シノプシスのソフトウェア・インテグリティ・グループは、ソフトウェアを開発/提供するための手法の転換を実現する統合ソリューションを提供している。これにより開発チームは、リスクを最小限に抑えながらイノベーションを加速することが可能となる。シノプシスが業界をリードするソフトウェア・セキュリティ対策ツール・ポートフォリオならびにサービスは、世界で最も包括的なソリューションであるだけでなく、サードパーティー並びにオープンソースのツールとの相互運用も実現している。そのため、企業/団体は、現在使用している開発ソリューションを活用しつつ、自社に最適なセキュリティ対策手法を構築することができる。ソフトウェアの信頼性確保に必要となるあらゆる開発ソリューションを提供している企業はシノプシスのみである。
詳細な情報は、https://www.synopsys.com/ja-jp/software-integrity.htmlより入手可能。
シノプシスについて
Synopsys, Inc.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体設計からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子設計自動化(EDA)ソリューションならびに半導体設計資産(IP)のグローバル・リーディング・カンパニーとして長年にわたる実績を持ち、業界で最も広範囲をカバーしたアプリケーション・セキュリティ・テスティング・ソリューションならびにサービスを提供しているS&P 500カンパニーである。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)設計者、よりセキュアでハイ・クオリティなコードを開発しているソフトウェア開発者に、革新的製品の開発に欠かせないソリューションを提供している。
詳細情報は、https://www.synopsys.com/ja-jpより入手可能。
# # #
Synopsysは、Synopsys, Inc.の登録商標または商標です。
その他の商標や登録商標は、それぞれの所有者の知的財産です。
<お問い合わせ先>
日本シノプシス合同会社 ソフトウェア・インテグリティ・グループPR事務局
(井之上パブリックリレーションズ内)
担当:塚田・池田
Email:synopsys@inoue-pr.com