日本シノプシスがソフトウェア脆弱性スナップショットレポートを発表、脆弱性は減少傾向に

　日本シノプシスは、「ソフトウェア脆弱性スナップショット —Webおよびソフトウェア・アプリケーションによく見られる10の脆弱性に関する3年間の分析」と題したレポートを、1月30日に公開した。

　同レポートでは、シノプシス セキュリティ・テスト・サービスがWebアプリケーション、モバイルアプリケーション、ネットワークシステム、ソースコードを対象に実施したテストから得られた、2020年〜2022年にかけての3年分のデータが詳細に掲載されている。

　テストは、ペネトレーション・テスト、動的アプリケーションセキュリティ・テスト（DAST）、モバイルアプリケーションセキュリティテスト（MAST）、ネットワークセキュリティテストといった複数のセキュリティテスト手法を駆使して、実際の攻撃者と同じように実行中のアプリケーションに対して実施された。

　テストの結果、過去3年間の平均では実施したテストの92％で何らかの脆弱性が検出されたものの、重大度が「高」の脆弱性は27％、重大度が「緊急」の脆弱性は6.2％となっている。重大度が「高」の脆弱性は、2021年から22年にかけて5ポイント増加し、「緊急」の脆弱性は2022年（6.7％）に最高を記録した。

　発覚したセキュリティ問題のトップは、2020年から22年にかけて変わらず「情報漏えいリスク」であり、3年間のテストで見つかった脆弱性全体の平均19％が情報漏えいの問題に直接関連している。

　さらに、2022年に発見された高リスク脆弱性のうち、19％がクロスサイト・スクリプティング攻撃の影響を受けやすいことが明らかになった。

　そのほか、2022年のセキュリティ問題トップ10のうち、「脆弱なサードパーティ・ライブラリの使用」は実施したテストの25％から検出されたことから、サードパーティやオープンソースのコンポーネントを含め、使用しているすべてのコンポーネントのバージョンを把握していない場合は、ソフトウェアは脆弱となる可能性が高いと指摘している。

　今回の結果は、業界にとってポジティブな進展といえるものの、静的アプリケーションセキュリティテスト（SAST）のような単一のセキュリティテストソリューションのみに依存することは、もはやアプローチとして十分ではないとも考えられる。

　同社は、コーディングの欠陥を特定するSAST、実行中のアプリケーションを検査するDAST、サードパーティのコンポーネントによって導入された脆弱性を特定するソフトウェアコンポジション解析（SCA）、内部テストで見落とされている可能性のある問題を特定するペネトレーションテストを組み合わせた多層的なセキュリティアプローチがなければ、サーバの設定ミスに起因する脆弱性は検出されないと指摘し、ソフトウェアリスクの所在を特定して脆弱性の悪用からビジネスを守るには、多層的なセキュリティアプローチがこれまで以上に必要であると述べている。