脆弱性 2021 の最終結果:件数は前年比 10% のアップと5年連続の増加

The Final Count: Vulnerabilities Up Almost 10% in 2021

2022/01/11 Security Boulevard — 2021年12月8日に、NIST National Vulnerability Database (NVD) に記録された脆弱性の数が、単年度の記録として5年連続で過去最高を記録したことを伝えた。 2021年が終了した今、2021年に記録された脆弱性の最終集計結果を見ることが可能となった。 この年には、前年比 9.3% 増の 20,061件の脆弱性が記録され、このデータベースが始まって以来、過去最多の記録が塗り替えられることになった。

今年の驚きの1つは、深刻度が High と評価された脆弱性の数が、昨年の記録を更新しなかったことだ。 2021年末までに NVD が記録した深刻度 High 脆弱性は4,040件であり、2020年に記録した 4,381件から減少している。深刻度が Medium および Low の脆弱性は過去最高を記録し、2021年末までに深刻度 Medium の脆弱性は 12,857件 (前年 11,204件)、深刻度 Low の脆弱性は 3,164件 (前年2,766件) を記録した。ただし、2021年全体における 9.3% の増加は、以下に示す NVD グラフからもわかるように、過去5年間で最大のジャンプとなった。

This image has an empty alt attribute; its file name is 2022-01-10_19-20-38-640x311.png


前回の記事では5年連続で記録が更新されたことを伝えたが、深刻度 Medium/Low の脆弱性が多く、深刻度 High の脆弱性が少なかった理由についても述べている。断言することはできないが、深刻度 High の脆弱性の数が少ないのは、DevSecOps とも呼ばれる大規模なシフトレフトの一環として、開発者によるコーディング作業が改善されているためだと考えられる。

近年、多くの企業がシフトレフトを採用しており、開発プロセスの早い段階で、セキュリティの優先順位を高くすることが重視されている。

今年、プロダクション環境のコードに、数多くの脆弱性が発見された理由としては、COVID-19 の大流行により多数の企業が、デジタル・トランスフォーメーションやクラウド化の一環として、アプリケーションのプロダクション環境への移行を急いだためだと考えられる。その結果、コードの QA サイクルが短くなり、また、サードパーティ・コード/レガシー・コード/オープンソース・コードの使用が増えたと推測される。つまり、企業は良質のコーディングを行っているかもしれないが、テストの量や質は高くなく、結果として、数多くの脆弱性がプロダクション環境に持ち込まれているのだ。

このような数字を見ると、自社のセキュリティを考える上で、プロダクション環境に脆弱性のあるアプリケーションが、どれほど存在するかと心配になるかもしれない。Web アプリケーションのセキュリティを向上させるために、いくつかの簡単な対策を講じることが可能だ。1つ目は、アプリケーション開発の最初の段階で、開発者がセキュリティを考慮するようにすることだ。2つ目は、ソフトウェアやオペレーティング・システムが常に最新の状態に保たれていることを確認し、パッチが適用されている既知の脆弱性が悪用されないようにすることだ。

アプリケーション・セキュリティにおいて、この2つが基本的なスタート地点となる。それに加えて、特にネットワークやシステムのセキュリティ・レベルでは、通常は防御されていない脅威に対して、実稼働中のアプリケーションの Web アプリケーション・セキュリティを確保する必要がある。 OWASP Top 10 Web Application Security Risks は、ネットワークやシステムのレベルでは、一般的にセキュリティ保護されないリスクの好例である。

一般的に実施されているシステムやネットワークのセキュリティに加えて、徹底した防御アーキテクチャを提供するセキュリティ・フレームワークを持つことを忘れてはならない。 最近では、2020年9月23日に、National Institute of Standards and Technology (NIST) の SP800-53 が、最終版として発表されたことがヒントになるかもしれない。この新しいセキュリティとプライバシーのフレームワーク規格では、セキュリティの追加レイヤーとして、Runtime Application Self-Protection (RASP) と Interactive Application Security Testing (IAST) が必要になっている。

K2 Cyber Security が提供するような RASP と IAST のソリューションは、脆弱性の検出のために最小限のリソースを使用し、アプリケーションが無視できるほどの遅延で済ませている。 K2 セキュリティ・プラットフォームは、ランタイム決定論的セキュリティを用いてアプリケーションを監視し、アプリケーションの制御フロー/DNA/実行について深く理解していく。 アプリケーションの制御フローを検証することで、決定論的セキュリティは、過去の攻撃に頼ってゼロデイ攻撃を判断するのではなく、アプリケーション自体に基づいて判断する。 決定論的セキュリティは、洗練されたゼロデイ攻撃の検出につながり、また、XSS/SQL インジェクションなどの、OWASP Top 10に挙げられるリスクからアプリケーションを保護する。

K2 の次世代アプリケーション・ワークロード・プロテクション・プラットフォームは、ランタイム・セキュリティと脆弱性検出に対する今日のニーズに対して、容易で導入しやすいソリューションを提供する。 K2 独自の決定論的セキュリティは、過去の攻撃知識に頼ることなく新しい攻撃を検出し、実行中のアプリケーションに1ミリ秒以下のレイテンシーしか加えない。 脆弱性を迅速に修正するために、K2 は攻撃されているコードのモジュールや行数などの、詳細な攻撃テレメトリを提供すると同時に、主要なファイアウォールと統合して攻撃者をリアルタイムにブロックする。

アプリケーションの保護とテストの方法を変え、K2 の セキュリティ・ソリューションをチェックすることで、攻撃から組織を保護するための、K2 効果を評価してほしい。

脆弱性は、2021年も増え続けました。そして、今後の指針として National Institute of Standards and Technology (NIST) の SP800-53 と OWASP Top 10 Web Application Security Risks があるとしています。なお、OWASP には API Top-10 もありますので、よろしければ ご参照ください。また、RASP と IAST が注目されるとのことです。K2 Cyber Security のソリューションを紹介する記事でもありますが、マトメてもらえると助かります。

%d bloggers like this: