Webやモバイル・アプリケーションに発生する脆弱性およびセキュリティの問題

2021年のSoftware Vulnerability Snapshot（ソフトウェア脆弱性スナップショット）レポートは、Webアプリやモバイル・アプリに影響を与える問題、およびリスクの低減に有効なAppSecのツールとアクティビティを明らかにしています。

組織がサードパーティーのアプリケーション・セキュリティ・テストを採用する主な理由は、新しいリソースの追加に問題がある場合に独自開発のソフトウェア・セキュリティ・テスト機能の拡張を行うためです。最近のコロナ禍はまさに、この状況に該当します。Cybersecurity Venturesの調査によると、世界のサイバーセキュリティの人材不足は現在350万人を超えています。これはフットボール・スタジアム50個がいっぱいになる人数です。

米国では、推定95万人とされるサイバーセキュリティの求人の半分近くが埋まっていない状態です。米国商務省の国立標準技術研究所（NIST）の「CyberSeek」プロジェクトは、過去18か月間のサイバー攻撃、データ侵害、ランサムウェア攻撃の増加を考え合わせると、危機的な人材不足だとしています。

Synopsysソフトウェア・インテグリティ・グループのセキュリティ・コンサルティング担当バイス・プレジデントのGirish Janardhanuduは、「コロナ禍の中でセキュリティ評価を受けたいという要望が増大しました。「クラウドベースのデプロイ、最新テクノロジーのフレームワーク、デリバリー・ペースの迅速化により、セキュリティ・グループはソフトウェアのリリースに合わせて対応をスピードアップする必要に迫られています。AppSecの人材市場がひっ迫する中、組織はSynopsysなどのアプリケーション・テスト・サービスを活用してセキュリティ・テストを柔軟にスケーリングしています。

最近発表されたSynopsysの「2021年のSoftware Vulnerability Snapshot（ソフトウェア脆弱性スナップショット）」レポートでは、2020年中にSynopsysのセキュリティ・コンサルタントが実施した市販Webアプリケーションおよびモバイル・アプリケーションに関する3,900件のテストのデータを調査しました。レポートの対象には、ソフトウェアおよびインターネット、金融サービス、ビジネス・サービス、製造、メディアおよびエンターテイメント、ヘルスケアなどの業種が含まれています。対象となるテストには、必要に応じてトリアージと修正を行うことが可能な脆弱性の特定を目的として、実際の攻撃をシミュレーションすることにより実行中のアプリケーションを調査するペネトレーション・テスト、動的アプリケーション・セキュリティ・テスト、モバイル・アプリケーション・セキュリティ分析などがあります。

包括的なソフトウェア・セキュリティ・テストの必要性

テストの結果、全体の97%で何らかの脆弱性が発見され、そのうち30%が高リスクの脆弱性、6%が重大なリスクが存在する脆弱性でした。テストを実施したアプリケーションの28%は、Webアプリケーションに影響を与え、壊滅的な高リスクや重大なリスクをもたらす代表的な脆弱性攻撃として知られるクロスサイト・スクリプティング攻撃にさらされていました。

このレポートは、最近の世界において、ソフトウェア・リスクを管理する上で包括的なアプリケーション・セキュリティ・テストが不可欠とされる理由を明らかにしています。静的アプリケーション・セキュリティ・テスト（SAST）などの「ホワイトボックス」テストでは、ソフトウェア開発ライフサイクルの早期段階でセキュリティの問題を可視化できますが、SASTでは実行時の脆弱性を発見することはできません。また、自動化されたテスト・ツールでは簡単に検出できない脆弱性もあります。

たとえば、攻撃者がデータに不正アクセスするために参照を操作できることが問題となる安全でないオブジェクト直接参照（IDOR）を検出する有効な方法としては、手動テストを実行する以外にありません。

最適なアプリケーション・セキュリティ・テストは1つの手法だけでは実現できません。人手を介した方が効果的なセキュリティ・テストは手動で実行し、自動化されたテストで補完する必要があります。

「2021年のSoftware Vulnerability Snapshot（ソフトウェア脆弱性スナップショット）」レポートの要点

• 2021年のOWASP Top 10の脆弱性がターゲット・システムの76%で発見された。OWASP A05:2021（セキュリティの設定ミス）カテゴリのテストでは、見つかった脆弱性全体の21%をアプリケーションとサーバーの設定ミスが占めています。また、検出された脆弱性の19%はOWASP A01:2021（アクセス制御の不備）カテゴリに関連していました。
  
• セキュリティで保護されていないデータ・ストレージと通信の脆弱性がモバイル・アプリケーションに問題をもたらす。
  モバイル・テストで発見された脆弱性の80%は、データ・ストレージがセキュリティで保護されていないことに関連していました。これらの脆弱性は、盗んだデバイスへのアクセスなどの物理的な方法で、あるいはマルウェアを介して、モバイル・デバイスにアクセスしようとする攻撃者に悪用される可能性があります。モバイル・テストの53%で、セキュリティで保護されていない通信に関連する脆弱性が発見されました。
• 比較的リスクの低い脆弱性でも、悪用されて攻撃が容易になる可能性がある。
  テストで発見された脆弱性の64%は最小、低、または中程度のリスクと考えられます。この場合、検出された問題は、攻撃者がシステムや重要データにアクセスするために直接悪用できるわけではありませんが、比較的リスクの低い脆弱性でも、悪用されて攻撃が容易になる可能性があります。たとえば、テストの49%に含まれる詳細なサーバーのバナーにはサーバーの名前、種類、バージョン番号などの情報が表示されており、攻撃者が特定のテクノロジ・スタックに対して標的型攻撃を実行することが可能になります。
• ソフトウェア部品表が早急に必要。
  注目すべきは、使用されている脆弱なサードパーティー製ライブラリの数であり、Synopsysアプリケーション・テスト・サービスが実施したペネトレーションテストの18%で発見されました。多くの企業が何百ものアプリケーションやソフトウェア・システムを使用しており、それぞれが数百から数千の異なるサードパーティーおよびオープンソースのコンポーネントを使用している可能性が高く、これらのコンポーネントを効果的に追跡するには、正確な最新のソフトウェア部品表（SBOM）が早急に必要です。