ブラック・ダック、ソフトウェア脆弱性スナップショット・レポートを発表 重大な脆弱性が多い高リスクの業界が明らかに

重大な脆弱性の数が最も多いのは、金融および保険業界であることが判明

2024年12月18日東京発 - Black Duck® Software, Inc.(日本法人:ブラック・ダック・ソフトウェア合同会社、以下「ブラック・ダック」)は本日、ソフトウェアの脆弱性に対処する上でさまざまな業界が直面する固有の課題やアプローチを浮き彫りにした「2024 ソフトウェア脆弱性スナップショット」レポートを発表した。本レポートは、ブラック・ダックが2023年6月~2024年6月にかけて19業種にわたる約1,300のアプリケーションに実施した、20万余りの動的アプリケーション・セキュリティ・テスト(DAST)におけるスキャンデータを分析したものである。本レポートでは、脆弱性の種類と修復方法に大きな差異があることが明らかになった。

 

この調査結果は、Web ベースのアプリケーションおよびシステムにおけるセキュリティの現状と、金融、保険、ヘルスケアといったリスクの高い分野で脆弱性が事業運営に及ぼす潜在的な影響に関する知見を提供する。注目すべき点として、データ・セット内で重大な脆弱性の数が最も多かったのは、金融および保険セクター(1,299件)であり、次いでヘルスケアおよび社会扶助セクター(992件)であった。

 

特定された合計96,917件の脆弱性において、最も重大なリスクのある脆弱性は2種類である。1つ目は、暗号化の失敗(アプリケーションが機密情報を保護する仕組みにおける脆弱性)で30,000件以上に上る。2つ目は、インジェクションの脆弱性(悪意のあるコードが、アプリケーションに対して意図しないアクションや適切な権限なしにデータへのアクセスを実行させること)で、4,800件を超えていた。どちらもあらゆる業種のデータに大きな脅威をもたらすだけでなく、潜在的なセキュリティ侵害があると、個人識別情報(PII)や財務データ、診療記録の盗難を招き、深刻な経済的損失や評判の低下につながる可能性がある。

 

また本レポートによると、修復へのアプローチに関する万能なタイムラインはないということがわかった。実際、業界ごとの平均修復時間(MTTR)には大きなばらつきがある。金融および保険業界では、厳しい法規制のため迅速な対応(複雑度が比較的小さい/少ないWebアセットの場合は28日)を余儀なくされる一方、公益事業セクターでは問題解決まで最も時間がかかっていた(複雑度が比較的小さい/少ないWebアセットの場合は107日)。これは、パッチの適用やアップデートが困難なレガシーシステムで運用していることが原因と考えられる。

 

オペレーションの中断は、業界に関係なく大きなビジネス・リスクとなる。本調査によると、セキュリティの設定ミスが広範囲に見られ(該当アプリケーションの98%)、ビジネスの継続性とサービスの可用性に脅威を及ぼしていることが明らかになった。

 

 ブラック・ダックCEOであるJason Schmittは次のように述べている。「昨年多数の脆弱性が発見されたことから、企業は新たなセキュリティ対策の導入を躊躇すべきでないと明らかに認識させられます。組織内で脆弱性へのパッチ適用にかかる時間が長くなるほど、侵害のリスクは高まります。ソフトウェア・リスクはビジネス・リスクと同義であり、今日の悪意のあるアクターはこれまで以上に巧妙化しています。だからこそ、あらゆるセクターの企業で包括的かつ統合的なアプローチを導入し、自社ソフトウェアの信頼性を構築することの重要性が高まっています」

 

詳細は、「2024 ソフトウェア脆弱性スナップショット」レポートブログウェビナーをご覧ください。

 

Black Duck Software, Inc.について

ブラック・ダック(旧シノプシス ソフトウェア・インテグリティ・グループ)は、業界で最も包括的かつ強力で信頼できるアプリケーション・セキュリティ・ソリューション・ポートフォリオを提供します。ブラック・ダックには、世界中の組織がソフトウェアを迅速に保護し、開発環境にセキュリティを効率的に統合し、新しいテクノロジーで安全に革新できるよう支援してきた比類なき実績があります。ソフトウェア・セキュリティのリーダー、専門家、イノベーターとして認められているブラック・ダックは、ソフトウェアの信頼を築くために必要な要素をすべて備えています。詳しくは http://www.blackduck.com/jpより入手可能。

# # #

 

©2024 Black Duck Software, Inc. All rights reserved.

Black Duck®はBlack Duck Software, Inc.の米国およびその他の国における登録商標です。

その他の会社名および商品名は各社の商標または登録商標です。

 

<お問い合わせ先>

 

ブラック・ダック・ソフトウェア合同会社 PR事務局

(井之上パブリックリレーションズ内)

担当:増田・馬宮

Email:[email protected]