重大な脆弱性が最も多いのは金融および保険業界、ブラック・ダック「2024 ソフトウェア脆弱性スナップショット」レポート

　米Black Duck Software（以下、ブラック・ダック）は18日、ソフトウェアの脆弱性に対処する上でさまざまな業界が直面する固有の課題やアプローチなどを分析した「2024 ソフトウェア脆弱性スナップショット」レポートを発表した。

　レポートは、ブラック・ダックが2023年6月～2024年6月にかけて、19業種にわたる約1300のアプリケーションに実施した、20万余りの動的アプリケーションセキュリティテスト（DAST）における、スキャンデータを分析したもの。レポートでは、脆弱性の種類と修復方法に、大きな差異があることが明らかになったとしている。

　ブラック・ダックでは、調査結果はWebベースのアプリケーションおよびシステムにおけるセキュリティの現状と、金融、保険、ヘルスケアといったリスクの高い分野で、脆弱性が事業運営に及ぼす潜在的な影響に関する知見を提供すると説明。注目すべき点としては、データセット内で重大な脆弱性の数が最も多かったのは、金融および保険セクター（1299件）で、次いでヘルスケアおよび社会扶助セクター（992件）だったとしている。

　特定された合計9万6917件の脆弱性のうち、最も重大なリスクのある脆弱性は2種類で、1つ目は暗号化の失敗（アプリケーションが機密情報を保護する仕組みにおける脆弱性）で、3万件以上に上った。2つ目はインジェクションの脆弱性（悪意のあるコードがアプリケーションに対して意図しないアクションや適切な権限なしにデータへのアクセスを実行させること）で、4800件を超えていた。どちらも、あらゆる業種のデータに大きな脅威をもたらすだけでなく、潜在的なセキュリティ侵害があると、個人識別情報（PII）や財務データ、診療記録の盗難を招き、深刻な経済的損失や評判の低下につながる可能性がある。

　また、レポートでは、修復へのアプローチに関する万能なタイムラインはないということが分かったとしている。業界ごとの平均修復時間（MTTR）には大きなばらつきがあり、金融および保険業界では、厳しい法規制のため迅速な対応（複雑度が比較的小さい／少ないWebアセットの場合は28日）を余儀なくされる一方、公益事業セクターでは問題解決まで最も時間がかかっていた（複雑度が比較的小さい／少ないWebアセットの場合は107日）。これは、パッチの適用やアップデートが困難な、レガシーシステムで運用していることが原因と考えられるとしている。

　オペレーションの中断は、業界に関係なく大きなビジネスリスクとなり、調査によると、セキュリティの設定ミスが広範囲に見られ（該当アプリケーションの98％）、ビジネスの継続性とサービスの可用性に脅威を及ぼしていると分析している。

　ブラック・ダックCEOのJason Schmitt氏は、「昨年多数の脆弱性が発見されたことから、企業は新たなセキュリティ対策の導入を躊躇すべきでないと明らかに認識させられます。組織内で脆弱性へのパッチ適用にかかる時間が長くなるほど、侵害のリスクは高まります。ソフトウェアリスクはビジネスリスクと同義であり、今日の悪意のあるアクターはこれまで以上に巧妙化しています。だからこそ、あらゆるセクターの企業で包括的かつ統合的なアプローチを導入し、自社ソフトウェアの信頼性を構築することの重要性が高まっています」と述べている。