シノプシス?アプリケーション?セキュリティ?テスト?サービスが诊断した结果、脆弱性が蔓延していると2021年ソフトウェア脆弱性スナップショットで报告
2022年1月31日 東京発 - シノプシス(草榴社区, Inc.、Nasdaq上場コード:SNPS)は本日、“2021年ソフトウェア脆弱性スナップショット - シノプシス アプリケーション?セキュリティ?テスト?サービスによる分析”を発刊した。このレポートには、2020年に约2,600件のソフトウェアやシステムを対象に実施した约3,900回のテストから得られたデータの分析结果が报告されている。データは、シノプシス?セキュリティ?コンサルタントが顾客のためにシノプシスの分析机関で実施したテストの结果を集积したものである。実行したテストには、ペネトレーション?テスト、动的アプリケーション?セキュリティ?テスト、モバイル?アプリケーション?セキュリティ解析などがあり、现実世界のセキュリティ攻撃を使ってアプリケーションを调査している。
テスト対象のうち、83%はWebアプリケーションもしくはシステム、12%はモバイル?アプリケーション、残りがソースコードもしくはネットワーク?システム/アプリケーションである。対象业界は、ソフトウェアならびにインターネット、金融、ビジネス?サービス、製造、メディアならびにエンターテイメント、医療関係などが含まれる。
シノプシス ソフトウェア?インテグリティ?グループ セキュリティ?コンサルティング担当副社長 Girish Janardhanuduは、次のように述べている。「クラウド展開、最新のテクノロジ?フレームワーク、デリバリーの短期化を背景に、セキュリティ担当者は、ソフトウェア?リリースに合わせたより迅速な対応を迫られています。AppSec担当人員は不足しており、企業/団体はセキュリティ?テストの拡充を柔軟に行うべく、シノプシスが提供しているようなアプリケーション?セキュリティ?テスト?サービスを活用しています。コロナ禍の間も、セキュリティ?アセスメントの需要は非常に高まっています」
约3,900回のテストを実施した结果、调査対象の97%で何らかの脆弱性が検出された。30%は高リスクな脆弱性を抱えており、6%には紧急リスクの脆弱性が潜在していた。このことから、最良のセキュリティ?テストを実行するためには、アプリケーションやシステムに脆弱性が残っていないことを実証するために提供されている幅広いツールを适用する必要があるのは明らかである。例えば、全调査対象の28%からは、クロスサイト?スクリプティング(齿厂厂)に対する脆弱性が検出されている。これは、奥别产アプリケーションに最も多く见られ、かつ破壊的な高リスク/紧急リスクの脆弱性の1つである。齿厂厂の脆弱性は、多くの场合、実际にアプリケーションが使用されたときにはじめて発覚するものである。
その他の要旨
今回のテストで見つかった脆弱性のうち、アプリケーションとサーバーの設定ミスが全体の21%を占めていた。これはOWASP Top10カテゴリーA05:2021のセキュリティ設定のミスに相当する脆弱性である。また検出された脆弱性の19%は、カテゴリーA01:2021のアクセス制御の不備に関連するものだった。
モバイル?テストで発覚した脆弱性の24%は、データ?ストレージの不安定性に関连するものだった。こうした脆弱性は、物理的手段(盗んだ机器からのアクセスなど)やマルウェアによる攻撃といったモバイル机器への不正アクセスを许す原因となる。またモバイル?テストの53%では、通信の不安定性に関连する脆弱性が明らかになった。
テストで発见された脆弱性の64%は、リスクが最小/低/中程度とされているものだった。これらは、システムや机密データにアクセスするために直接的に利用される性质のものではないが、とはいえ、こうした脆弱性を表面化させることは无駄ではない。低リスクの脆弱性でも攻撃の糸口に悪用される可能性があるからである。例えば、详细なサーバーバナー(テスト対象の49%から検出されている)は、サーバー名/タイプ/バージョン番号といった情报を公开する元となるため、特定のテクノロジー?スタックを狙った攻撃を许す要因となる。
注目すべきは、脆弱なサードパーティ?ライブラリの使用数である。シノプシス?アプリケーション?セキュリティ?テスト?サービスが実施したペネトレーション?テストの結果、対象の18%で検出された。これはOWASP Top10カテゴリーA06:2021の脆弱で古くなったコンポーネントの使用に相当する脆弱性である。ほとんどの企業/団体では、独自開発コード、入手が容易な商用オフザシェルフ?コード、オープンソース?コンポーネントを組み合わせて、販売目的もしくは社内使用のソフトウェアを開発している。こうした企業/団体の多くは、自社のソフトウェアに組み込まれているコンポーネント、それらのライセンス、バージョン、パッチのステータスなどの詳細を正確に記した目録を正式な形で作成していない、もしくは作成すらしていない。多くの企業/団体が使用している数百ものアプリケーションやソフトウェア?システムには、数百あるいは数千ものサードパーティ?コンポーネントやオープンソース?コンポーネントが組み込まれているケースが多い。こうしたコンポーネントを効果的に追跡するためには、正確かつ最新のソフトウェア部品表(厂叠翱惭)の整备が急务である。
“2021年ソフトウェア脆弱性スナップショット - シノプシス アプリケーション?セキュリティ?テスト?サービスによる分析”は、下記よりダウンロード可能。
ブログには、下记よりアクセス可能。
シノプシス ソフトウェア?インテグリティ?グループについて
シノプシスのソフトウェア?インテグリティ?グループは、開発チームが安全で高品質のソフトウェアを構築し、リスクを最小限に抑えながら開発スピードと生産性を最大化することを支援している。アプリケーション?セキュリティのリーディング?カンパニーとして認められているシノプシスは、静的解析、ソフトウェア?コンポジション解析、および動的解析ソリューションを提供し、チームが独自開発しているコード、オープンソース?コンポーネント、およびアプリケーションの動作の中に潜む脆弱性や不具合をすばやく特定/修正できるようにする。业界をリードするツール、サービス、ならびに専門技術の組み合わせにより、企業/団体がDevSecOpsの中で、またソフトウェア開発ライフサイクルを通じて、セキュリティと品質を最適化できるよう支援している企業はシノプシスのみである。
详细な情报は、/ja-jp/software-integrity.htmlより入手可能。
シノプシスについて
草榴社区.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体设计からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子设计自動化(EDA)ソリューションならびに半導体设计資産(IP)のグローバル?リーディング?カンパニーとして長年にわたる実績を持ち、业界で最も広範囲をカバーしたアプリケーション?セキュリティ?テスティング?ソリューションならびにサービスを提供しているS&P 500カンパニーである。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)设计者、よりセキュアでハイ?クオリティなコードを開発しているソフトウェア開発者に、革新的製品の開発に欠かせないソリューションを提供している。
详细情报は、/ja-jpより入手可能。
# # #
草榴社区は、草榴社区.の登録商標または商標です。
その他の商标や登録商标は、それぞれの所有者の知的财产です。
<お问い合わせ先>
日本シノプシス合同会社 ソフトウェア?インテグリティ?グループPR事務局
(井之上パブリックリレーションズ内)
担当:塚田?渡辺
贰尘补颈濒:synopsys@inoue-pr.com