ソフトウェア・インテグリティ

 

Infosec Europe 2019でエキスパートから聞いたソフトウェア・セキュリティの動向

Infosec Europeの年次調査に基づく2019年のソフトウェア・セキュリティの主な動向としては、データ保護と法令遵守に対する懸念の高まりなどが挙げられます。

2019年のソフトウェア・セキュリティの主な動向の詳細

今年のInfosecurity Europeでは、参加者を対象に年次調査を実施し、懸念事項やそれに対する対処など、ソフトウェア・セキュリティの最新トレンドを明らかにしました。Synopsysの分析をご覧ください。PDF版のダウンロードはこちら

Infosec Europe 2019でのソフトウェア・セキュリティの動向に関するエキスパートの意見

Infosecで明らかになったソフトウェア・セキュリティ・エキスパートの意見

対象者

Synopsysは、2018年と2019年のInfosecurity Europeで、技術、金融、セキュリティ業界のセキュリティ・エンジニアとソフトウェア・エンジニアを対象に調査を行いました。

調査結果

セキュリティ上の重大な懸念事項

顧客データの保護と業務の継続は2019年も引き続き最優先事項になっていますが、法令遵守に対する懸念も高まっています。全体として、2019年の回答者は、4つの問題のそれぞれを2018年の回答者よりも重要視しています。ソフトウェア・セキュリティに関する懸念事項には、明確な傾向があります。組織はあらゆる事項への懸念を高めています。

2018年 2019年
顧客データの保護 60% 69%
事業の継続 57% 68%
法令遵守 51% 64%
内部の知的財産の保護 43% 55%

GDPR(一般データ保護規則)への準拠

GDPRの法律制定が過去1年間に影響をもたらしたことは明らかです。好ましいソフトウェア・セキュリティ・トレンドの1つとして、このプライバシー保護規制の遵守を確保する組織の増加が見られました。

2018年 2019年
所属組織はGDPRに準拠している 44% 88%

セキュリティ・プログラムの課題

アプリケーション・セキュリティ・プログラムを実装する際の3つの主な障害として指摘された回答は2018年と2019年で同じでした。これらの課題の状況は悪化してはいないものの、組織が率先して解決に向かう姿勢もあまり見られません。

2018年 2019年
開発/デプロイのスピードへの悪影響を感じた 33% 31%
熟練した専門家の不足 30% 31%
予算の制約 29% 31%

セキュリティと意識向上に関するトレーニング

調査で明らかになったもう1つの好ましいソフトウェア・セキュリティ・トレンドは、トレーニングに関するものです。アプリケーション・セキュリティ・トレーニングの対象を開発者のみに絞っている組織がある一方、全従業員を対象にしていても研修の内容をサイバーセキュリティに対する意識向上のみに限定している組織もあります。しかし多くの組織は両方のタイプのプログラムの価値を認識しています。今後も同様の傾向が続くことが望まれます。

2018年 2019年
両方のタイプのプログラムを設けている 35% 48%

最もリスクの高いアプリケーション

2019年の回答でも、顧客向けのWebアプリケーションが組織に最大のセキュリティ・リスクをもたらすとされました。この統計は2017年の調査結果(48%)からほとんど変わっていません。近年、多くの報告によってWebアプリケーションが最大のアタックサーフェスであることが確認されているので、ハッカーからのWebアプリケーションの保護に関して組織が懸念を抱いていることは当然です。

2018年 2019年
顧客向けのWebアプリケーション 44% 45%
内部/業務アプリケーション 29% 28%

最もリスクの高い脆弱性

Synopsysの調査は、ソフトウェア・セキュリティの専門家が考える最もリスクの高い脆弱性の傾向を示唆しています。2019年には、クラウドおよびコンテナの構成ミスやオープンソース・コンポーネントの脆弱性が最もリスクが高いとする回答が増えました。この2つの分野の上昇傾向は、クラウド・セキュリティに対する懸念が高まっていること、および組織がこれまで以上にオープンソース・コンポーネントを使用していることを示す最近の複数のレポートによって裏付けられています。

2018年 2019年
クラウド/コンテナ・アプリケーションの構成ミスによる脆弱性 25% 27%
OSSコンポーネントの脆弱性 22% 24%
自社開発コードの脆弱性 20% 20%

これらのソフトウェア・セキュリティ・トレンドから学ぶこと

多くの開発組織はセキュリティ・テストに時間がかかりすぎると考え、市場投入までの期間を短縮しようとすることによってリスクを増大させる可能性があります。しかし最新のアプリケーション・セキュリティ・プラットフォームでは複数のツールやサービスを統合し、開発からデプロイに至るまでのSDLC全体にセキュリティを組み込んでいます。適切なツールを使用することにより、納期への影響を最小限に抑えながら、アプリケーション・ポートフォリオ全体のリスクを管理できます。

準備はできていますか

 

この著者によるその他の情報