95％のソフトに脆弱性が見つかる、そのうちクリティカルなのは何パーセント？

自社が使うソフトウェアや他社に提供するソフトウェアに脆弱性が残っていると、サイバー攻撃や情報漏えいという結果につながる。Synopsysは大量のソフトウェアを検証した結果、脆弱性を含むものが予想外に多いことを示した。

[David Jones，Cybersecurity Dive]

　悪意のあるサイバー攻撃から重要なシステムをどのように守ればよいのだろうか。さまざまな対策があるものの、中核となるのはソフトウェアの脆弱（ぜいじゃく）性対策だ。

　そもそも、どの程度のソフトウェアに脆弱性が残っているのだろうか。どの程度がクリティカルなのだろうか。

どの程度のソフトウェアが危ないのか

　Synopsysのライ・ケリー氏（フェロー）によれば「結局、ソフトウェアのリスクはビジネスリスクと等しい。リスクを軽減する対策を講じなければ、企業の収益に影響を与える可能性がある」という。

　Synopsysの「Software Integrity Group」が発表したレポート「Software Vulnerability Snapshot」（注1）によると、アプリケーションやシステムの大多数に何らかの脆弱（ぜいじゃく）性が存在した。95％という高い値だ。システム全体では、5分の1が「高リスク」の脆弱性を有しており、5％弱が「クリティカル」と判断された。

　クリティカルな脆弱性とは、攻撃者がWebアプリケーションやアプリケーションサーバでコードを実行すると、機密データにアクセス可能なものだ。

　見つかった最も一般的な脆弱性はSSL／TLS（セキュアソケットレイヤー／トランスポートレイヤーセキュリティ）の脆弱な設定に基づくものだった。テスト対象の82％が何らかの形でこのタイプの脆弱性を含んでいた。

　サイバー犯罪者や無法国家が病院や学校、電力会社、政府機関、その他の重要な施設を含む国内で最も脆弱な産業に対して攻撃を仕掛ける際、バックドアとして利用されるのがこのような脆弱性だ。

状況は改善しつつあるが、歩みが遅い

　Synopsysの報告書によれば、1年前と比較して幾つかの改善点があったという。顧客がインストール作業に入る前に、企業や組織はアプリケーションの欠陥を検出しようと努力している。

　産業界のオートメーションへの依存度が高まるにつれ、これらのシステムの完全性を事前にテストする必要性が優先事項になっている。

　テスト対象の22％は最も破壊的な脆弱性を秘めていた。Webアプリケーションに見られるクロスサイトスクリプティングの脆弱性だ。

　この割合は2021年度の報告書に記載された数よりも約6ポイント少ない。企業が出荷前にこれらの脆弱性を軽減する措置を講じたことの表れだと、研究者は述べた。

　Synopsysの研究者によれば、今回の結果はソフトウェア部品表（SBOM：Software Bill of Materials）の必要性も示すという。なぜなら、今回のペネトレーションテストによれば、脆弱性があるサードパーティー製ライブラリを使う割合が21％に達していたからだ。

2711本のソフトを検証した

　今回の調査では、Webアプリケーション（テスト本数のうち82％）やモバイルアプリケーション（13％）、ソースコード、ネットワークシステムなど2711本のソフトウェアに対して、4398件のテストを実施し、4194件で脆弱性が見つかった。脆弱性の合計は3万731個に達した。そのうち、クリティカルなものは1420個あった。

　テストのうち95％はペネトレーションテストや動的アプリケーションセキュリティテスト（DAST）、モバイルアプリケーションセキュリティテスト（MAST）を含む「ブラックボックス」テストと「グレーボックス」テストだ。ブラックボックステストは部外者の視点からターゲットのセキュリティ状況にアプローチし、グレーボックステストは認証情報を持つユーザーをシミュレートすることでブラックボックステストを拡張し、より深い洞察をもたらすものだ。

出典：High risk, critical vulnerabilities found in 25% of all software applications and systems（Cybersecurity Dive）

注1：Software Vulnerability Snapshot