日本シノプシスは、レポート「ソフトウェア脆弱性スナップショット - Webアプリケーションによく見られる10の脆弱性」を、1月25日に発刊した。同レポートでは、Webアプリケーション、モバイルアプリケーション、ソースコードファイル、ネットワークシステム(ソフトウェアやシステム)といった2700件のソフトウェアを対象に実施した、4300回超のセキュリティテストから得られた、データの分析結果を報告している。
同調査では、実際のセキュリティ攻撃を想定した環境でのアプリケーションの実行結果を証明できるように設定されたペネトレーションテスト、動的アプリケーションセキュリティテスト(DAST)、モバイルアプリケーションセキュリティテスト(MAST)などの侵入型ブラックボックスないしグレーボックステストが、セキュリティテスト手法として用いられた。
テスト対象の内訳は、Webアプリケーション/システムが82%、モバイルアプリケーションが13%、残りがソースコードまたはネットワークシステム/アプリケーションで、対象業界にはソフトウェア/インターネット、金融サービス、ビジネスサービス、製造、消費者サービスならびに医療などが含まれる。
テストの結果、調査対象の95%で何らかの脆弱性が検出され、うち20%は高リスクな脆弱性を抱えており、4.5%には緊急リスクの脆弱性が潜在していた。
そのほか、今回のテストで見つかった脆弱性のうち、アプリケーションとサーバの設定ミスが全体の18%を占めるとともに、ペネトレーションテストの結果、脆弱なサードパーティライブラリの使用数は、対象の21%で検出されている。また、テストで発見された脆弱性の72%は、リスクが低/中程度とされているものだった。
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
