金融機関におけるセキュリティ負債：新たな概念でアプリの脆弱性を分類する – Veracode 調査

50% of financial orgs have high-severity security flaws in their apps

2024/11/01 HelpNetSecurity — Veracode のレポートが定義する、”セキュリティ負債” という言葉は、１年以上にわたって修正されず、放置されている、深刻な脆弱性により構成される概念を指す。このセキュリティ負債は、金融組織の 76% に存在しており、そのうちの 50% の組織は、深刻なセキュリティ負債を抱えていることが、Veracode の最新レポート “Research Highlights Financial Sector’s Escalating Security Debt” により明らかになった。

金融セクターのアプリはセキュリティ上の負債をより多く抱えている

金融業界におけるデータ侵害の平均コストは、$608M と推定されている。この調査は、高度な脅威をもたらす攻撃者から、最も標的にされやすい業界である金融業界とって、きわめて適切なタイミングで行われている。2024年3月の米国財務省の報告書によると、攻撃者は AI ベースのツールを使用して、ソフトウェアの脆弱性を見つけ出して悪用しているという。それと並行して、業界の競争の激化と顧客の利便性に対する期待の高まりにより、企業はイノベーションの加速を求められている。

Veracode の Chief Security Evangelist である Chris Wysopal は、「金融業界におけるセキュリティ負債の割合の高さは、迅速に対処しなければ、組織と顧客に重大なリスクをもたらすものだ。AI を悪用するサイバー攻撃は、質的／量的に増大している。その一方で、既存のセキュリティ負債に関連する規制への対応で、それぞれの組織は苦慮しており、驚くほどの速さでの脆弱性の悪用を、攻撃者に許しているという状況にある」と述べている。

さらに彼は、「我々の最新調査が浮き彫りにするのは、ファースト／サードパーティのコードに含まれる脆弱性への対処が、金融機関にとって逼迫した問題となっていることだ。１年以上も欠陥を放置している組織は、長期にわたって危険な脅威にさらされることになる」と付け加えている。

Veracode の研究者たちが発見したのは、金融業界のアプリケーションの 40%に、セキュリティ負債があることだ。これは、すべての業界を横断する平均値の 42% と比べて、若干ではあるが良い数値である。しかし、金融業界のアプリケーションで脆弱性が存在しないものは僅か 5.5%であり、業界全体の 5.9% よりも劣る。

ファースト／サードパーティのコードにおけるセキュリティ上の負債

また、このレポートは、金融サービス企業のファースト／サードパーティのコードに存在する、セキュリティ負債に対処する必要性も強調している。セキュリティ負債の 84%は、ファースト・パーティのコードに影響を及ぼすが、重大なセキュリティ負債の 78.6% は、サードパーティへの依存関係に起因している。この傾向は、CISA が Open Source Software Security Roadmap と Security by Design 成約 において、オープンソース・エコシステムの保護に取り組んでいること裏付けられる。

さらに、この分析では、金融サービス業界における修正スケジュールについても調査している。 研究者たちが発見したのは、金融機関ではファーストパーティ脆弱性の半分が、最初の９ヶ月で修正されているのに対して、サードパーティ脆弱性に対しては 13ヶ月を要していることだ。 そのうちの、ファーストパーティ脆弱性の 44% と、サードパーティ脆弱性の 52% がセキュリティ負債となっている。

金融サービス業界を標的とするサプライチェーン攻撃の増加に伴い、ソフトウェア・セキュリティに焦点を当てるサイバー・セキュリティ規制が増加している。たとえば、ISO 20022／Payment Card Industry Data Security Standard (PCI DSS) ／NIS2／Digital Operational Resilience Act (DORA) などの規制フレームワークでは、アプリケーションに存在する脆弱性の取り込みを、組織的に防止することが求められている。

このため、既存のセキュリティ負債に悩まされ、時代遅れの修正戦略を用いる企業は、コンプライアンス違反のリスクに直面することになる。今回の調査によると、重大なセキュリティ負債を構成する 3.3% の欠陥さえ、優先的に修正することが可能になれば、このリスクに対処できることが判明している。最も危険な脆弱性を最優先で修正することで、金融機関は深刻なリスクを回避し、その後に、他の脆弱性の修正などに取り組むことができる。

Veracode の Chris Wysopal は、「金融サービス業界にとって、進化するサイバーセキュリティの脅威に対して先手を打つことが、これまで以上に重要になっている。特に、AI を駆使した高度な攻撃が、重要な資産のセキュリティを脅かしている現状ではなおさらだ。金融機関に対して強く推奨されるのは、AI を駆使した修正ツールや ASPM ツールの採用である。それらにより、脆弱性を数秒で検出し、優先順位付けや、修正を行い、セキュリティ負債の削減をタイムリーに実施することだ」と、締め括っている。

この記事で多用されている “security debt” という、Veracode による造語ですが、とりあえず “セキュリティ負債” と訳してみました。金融の分野と、その他の分野が比較されていますが、どちらも同じような問題を抱えていると映ります。いまの時代を、なるほどという形で切り取った、Veracode のレポートと言う感じがします。よろしければ、カテゴリ Finance と併せて、ご参照ください。