Majority of Web Apps in 11 Industries Are Vulnerable All the Time
2021/06/23 DarkReading — 6月22日に WhiteHat Security が発表した 2020年のレポートによると、電力会社が導入しているアプリケーションの3分の2に、また、行政機関が導入しているアプリケーションの63%に、セキュリティを損なう深刻な脆弱性が存在していることが分かった。2020年の全体では、11の業種において、少なくとも半数のアプリケーションに深刻な脆弱性が存在していた。
WhiteHat Security が6月に発表した月刊 AppSec Stats Flash によると、上位の3業種(公益事業/行政/専門サービス)は、脆弱性の修正に平均288日以上を要している。WhiteHat Security の VP Strategy である Setu Kulkarni は、「パッチの適用が遅いのは、多くの場合において、活発な開発チームが存在しないレガシー・アプリケーションが、ロングテールで存在するためだ。脆弱性を発見した後に修正するには、適切な開発チームを見つけなければならず、多くの場合、その開発チームはとっくに解散している。
私たちが日常的に使用しているアプリケーションの中には、きわめて長期間にわたり運用されているものがある」と述べている。また、深刻な脆弱性の修正に要する期間は、過去3か月間の平均が 205日であり、WhiteHat の1月レポートの194日から増加し、2020年全体の148日を大幅に上回っている。WhiteHat によると、この傾向は、これまでテストされていなかった、新しいアプリケーションやレガシー・アプリケーションのテストが、増加していることに起因している。
テストされたアプリケーションの数は、主要な産業分野全体で約 10%増加しており、1サイトあたり平均 2つの脆弱性が発見されている。企業がテストを拡大した理由としては、このところ多発しているランサムウェア攻撃により、事業の継続性への懸念が高まったことや、パンデミック下でリモートワーカーをサポートするために、クラウド・アプリケーションの導入が進んだことなどが挙げられる。
この記事では、社内開発に関連する問題点も指摘しています。WhiteHat のレポートでは、社内の開発者が作成したオリジナル・コードや、アプリケーションに組み込まれたオープンソース・コンポーネントに含まれる欠陥が、脆弱性の原因となっているかどうかについてフォーカスしていないそうです。その一方で、Veracode のレポートによると、オープンソース・ライブラリをプロジェクトに後に、開発者がアップデートしていないケースが 79% に達していることが判明したと述べています。オープンソース・ライブラリの脆弱性の大半 (92%) は、アップデートで修正できるため、定期的なアップデートが重要になると指摘しています。
IoT OT Security News 