Risk Based Security レポート:2021年は 28,695 件の脆弱性が公表された

28,695 vulnerabilities were disclosed in 2021 – the highest number on record

2022/02/17 HelpNetSecurity — Risk Based Security (RBS) のレポートによると、2021年には合計で 28,695件の脆弱性が公開された。この総数は過去最高の数字であり、それぞれの組織やセキュリティチームが直面する、リスクの大きさを如実に示している。いまの脆弱性の開示状況は、COVID-19 パンデミックを超える勢いであり、今年に今開示される脆弱性の数は、前年と比べて増加し続けるだろうと、RBS は予測している。

Risk Based Security の VP of Vulnerability Intelligence である Brian Marti は、「脆弱性の公開状況は、COVID-19 パンデミックを寄せ付けなかったが、それは祝福されるものではない。脆弱性の開示件数は、年々増加するパターンに戻ってしまうだろう。そのため、すべてにパッチを当てる という方針を継続する組織は、今後も苦戦を強いられることになるだろう」と述べている。

同社のレポートは、脆弱性の状況をさらに詳しく説明しており、多くの企業により1日で 300件の脆弱性が公開されることもある、定例の Patch Tuesday イベントが引き起こす不安定さを強調している。

2021件の脆弱性のうち、新しいソリューションに関する情報や、追加のメタ・データが利用可能になると、信じられないほどの数の脆弱性を再調査し、更新しなければならない。このように、脆弱性管理チームが日々直面している作業は、とても厳しいボリュームとなる。

Brian Marti は、「過去の記録をアップデートすることは、きわめて重要である。なぜならば、脆弱性が公開されてもベンダーとの調整が完了しないとさ、解決策が提供されるまでに、数日/数ヶ月/数年かかることもあるからだ」とコメントしている。

彼は、「ユーザー組織が緩和策を導入している場合であっても、パッチが利用可能になったときには、パッチおよびアップグレードの適用が、きわめて重要となる。 その後に、脆弱性のエントリが更新されない場合に、リスクを軽減するために必要な、重要データを見逃すことになる」とも述べている。

Risk Based Security というサイバー・セキュリティ企業のレポートがベースになっているようです。1月11日の「脆弱性 2021 の最終結果:件数は前年比 10% のアップと5年連続の増加」は NVD がベースになっていて、2021年の脆弱性は 20,061 件だと述べていました。今後、増える可能性があるとも付け加えていましたが、この Risk Based Security との差が大きいので、Risk Based Security レポートをダウンロードしてみたところ、こちらは No-CVE が 8,000 件ほど含まれていました。ひょっとすると、それが差になって表れているのかもしれません。

%d bloggers like this: