草榴社区

ニュースリリース - 2024年1月30日

シノプシス、ソフトウェア脆弱性スナップショット?レポートを発表 脆弱性は減少傾向にあることが明らかに

アプリケーションから脆弱性が検出された割合は2020~22年に14ポイント减少

 

2024年1月30日 東京発 - シノプシス(草榴社区, Inc.、Nasdaq上場コード:SNPS)は本日、“ソフトウェア脆弱性スナップショット –Webおよびソフトウェア?アプリケーションによく見られる10の脆弱性に関する3年间の分析”を発刊した。シノプシス?サイバーセキュリティ?リサーチ?センター(颁测搁颁)が分析したデータによると、调査対象のアプリケーションから脆弱性が検出された割合は、2020年の97%から2022年には83%へと大幅に减少しており、コード?レビュー、自动テスト、継続的インテグレーションの実施が一般的なプログラミング?エラーの减少に寄与していることがうかがえる。

 

本レポートには、シノプシス セキュリティ?テスト?サービスがWebアプリケーション、モバイル?アプリケーション、ネットワーク?システム、ソース?コードを対象に実施したテストから得られた3年分(2020~22年)のデータが詳細に掲載されている。テストは、ペネトレーション?テスト、動的アプリケーション?セキュリティ?テスト(DAST)、モバイル?アプリケーション?セキュリティ?テスト(MAST)、ネットワーク?セキュリティ?テストなど、複数のセキュリティ?テスト手法を駆使して、実際の攻撃者と同じように実行中のアプリケーションに対して実施した。

 

今回の結果は业界にとってポジティブな進展と言える一方で、このデータからは、静的アプリケーション?セキュリティ?テスト(SAST)のような単一のセキュリティ?テスト?ソリューションのみに依存することは、もはやアプローチとして十分ではないことも読み取れる。例えば、サーバーの設定ミスは、3 年間のテストで発見された脆弱性全体の平均 18%に相当する。コーディングの欠陥を特定するSAST、実行中のアプリケーションを検査するDAST、サードパーティのコンポーネントによって導入された脆弱性を特定するソフトウェア?コンポジション解析(SCA)、内部テストで見落とされている可能性のある問題を特定するペネトレーション?テストを組み合わせた多層的なセキュリティ?アプローチがなければ、この種の脆弱性は検出されない可能性が高い。

 

シノプシス ソフトウェア?インテグリティ?グループ ジェネラル?マネージャー Jason Schmittは、次のように述べている。「ここ数年で初めて、ソフトウェアに潜む既知の脆弱性の件数が減少しました。これは、企業/団体がセキュリティ対策に真剣に取り組み、継続的な効果を得るためにソフトウェア?セキュリティに対する戦略的かつ全体的なアプローチに重きを置いていることを示すものであり、新たな希望と言えるでしょう。ハッカーの手口は巧妙化しており、ソフトウェア?リスクの所在を特定し、脆弱性の悪用からビジネスを守るためには、多層的なセキュリティ?アプローチがこれまで以上に必要とされています」

 

ソフトウェア脆弱性スナップショットの要旨

  • 重大度が高および紧急の脆弱性は増加

过去3年间の平均では、実施したテストの92%で何らかの脆弱性が検出されたが、そのうち重大度が高の脆弱性は27%、重大度が紧急の脆弱性は6.2%であった。重大度が高の脆弱性は2021年から22年にかけて5ポイント増加し、紧急の脆弱性は2022年(6.7%)に最高を记録した。

  • 情报漏えいは最重要リスク

発覚したセキュリティ问题のトップは、2020年から22年にかけて変わらず、情报漏えいリスクだった。これは、机密情报が権限のない第叁者に漏洩した场合に発生する重大なセキュリティ问题である。3年间のテストで见つかった脆弱性全体の平均19%が情报漏えいの问题に直接関连している。

  • クロスサイト?スクリプティングは増加倾向

2022年に発见された高リスク脆弱性のうち、19%がクロスサイト?スクリプティング攻撃の影响を受けやすいことが判明した。

サードパーティ製ソフトウェアのリスクが高まる

2022年のセキュリティ问题トップ10のうち、「脆弱なサードパーティ?ライブラリの使用」は実施したテストの25%から検出された。サードパーティやオープンソースのコンポーネントを含め、使用している全てのコンポーネントのバージョンを把握していない场合、ソフトウェアは脆弱となる可能性が高い。

 

“ソフトウェア脆弱性スナップショット – Webおよびソフトウェア?アプリケーションによく見られる10の脆弱性に関する3年間の分析”は、下記よりダウンロード可能。

/ja-jp/software-integrity/resources/analyst-reports/software-vulnerability-trends.html?cmp=pr-sig&utm_medium=referral

 

ブログには、下记よりアクセス可能。

/ja-jp/blogs/software-security/software-vulnerability-snapshot-report-findings.html?cmp=pr-sig&utm_medium=referral

 

シノプシス ソフトウェア?インテグリティ?グループについて

シノプシスのソフトウェア?インテグリティ?グループは、ソフトウェアを開発/提供するための手法の転換を実現する統合ソリューションを提供している。これにより開発チームは、リスクを最小限に抑えながらイノベーションを加速することが可能となる。シノプシスが业界をリードするソフトウェア?セキュリティ対策ツール?ポートフォリオならびにサービスは、世界で最も包括的なソリューションであるだけでなく、サードパーティー並びにオープンソースのツールとの相互運用も実現している。そのため、企業/団体は、現在使用している開発ソリューションを活用しつつ、自社に最適なセキュリティ対策手法を構築することができる。ソフトウェアの信頼性確保に必要となるあらゆる開発ソリューションを提供している企業はシノプシスのみである。

详细な情报は、/ja-jp/software-integrity.htmlより入手可能。

 

シノプシスについて

草榴社区.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体设计からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子设计自動化(EDA)ソリューションならびに半導体设计資産(IP)のグローバル?リーディング?カンパニーとして長年にわたる実績を持ち、业界で最も広範囲をカバーしたアプリケーション?セキュリティ?テスティング?ソリューションならびにサービスを提供しているS&P 500カンパニーである。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)设计者、よりセキュアでハイ?クオリティなコードを開発しているソフトウェア開発者に、革新的製品の開発に欠かせないソリューションを提供している。

详细情报は、/ja-jpより入手可能。

# # #

 

草榴社区は、草榴社区.の登録商標または商標です。

その他の商标や登録商标は、それぞれの所有者の知的财产です。

 

<お问い合わせ先>

 

日本シノプシス合同会社  ソフトウェア?インテグリティ?グループPR事務局

(井之上パブリックリレーションズ内)

担当:塚田?増田

贰尘补颈濒:synopsys@inoue-pr.com