State of Software Security Report の第 13 版では、ソフトウェア環境の傾向とセキュリティ慣行がどのように進化しているかを公開しています。 結果の一部は憂慮すべきものです。公共部門で開発されたアプリケーションの 82% で少なくとも 74 つのセキュリティ脆弱性が発見されましたが、民間企業では XNUMX% でした。
State of Software Security の調査によると、公共部門のアプリケーションは民間部門のアプリケーションよりもセキュリティの脆弱性が多い傾向にあります。 アプリケーションのエラーや脆弱性の数が増えると、セキュリティ リスクの増加と相関します。 この調査は、デジタル要素を備えた製品に追加の最低セキュリティ要件を導入することを目的とした EU サイバーレジリエンス法など、サイバーセキュリティを向上させるための世界政府の多数の取り組みを背景に実施されました。 27 のアプリケーションにおける 750.000 万件以上のスキャンデータの分析が、Veracode の最新の年次報告書の基礎となりました
セキュリティホールのあるアプリケーションが多数ある
研究者らは、公共部門の組織が開発したアプリケーションの約 82% に少なくとも 74 つのセキュリティ脆弱性があることを発見しました。 これに対し、民間企業では 12% です。 研究のデータは過去 12 か月以内に収集されました。 特定された脆弱性の種類に応じて、過去 7 か月以内に公共部門のアプリケーションに脆弱性が組み込まれた可能性が 12 ~ XNUMX% 高くなりました。
この数字だけでは、ハッカーがバグや脆弱性を悪用したときに起こる結果を反映していません。 たとえば、昨年 XNUMX 月、ドイツ商工会議所に対するサプライ チェーン攻撃により、IT システム、デジタル サービス、電話、電子メール サーバーが完全に停止しなければならなくなりました。 重要なサービスは攻撃直後に再び利用可能になりましたが、完全な機能が復元されるまでに XNUMX か月以上かかりました。
公共部門における深刻な脆弱性
「重大度の高い」脆弱性に関しては、公共部門が優位に立っています。 12 か月の調査期間を通じて、重大なセキュリティ脆弱性のあるアプリケーションの割合は、民間企業 (16,5%) よりも公共部門 (19%) の方が低かった。 重大度の高い脆弱性が悪用されると、システム全体に影響を与える可能性が高くなります。
最新のアプリケーション テストでは、静的アプリケーション セキュリティ テスト (SAST) やソフトウェア構成分析 (SCA) などのセキュリティ スキャン ツールの使用が推奨されています。 スキャンの種類が異なれば、さまざまな種類の脆弱性が発見される可能性があります。 SAST と SCA は、公共部門のアプリケーションでは民間企業のアプリケーションよりも欠陥の割合が低いことを発見しました。
転ばぬ先の杖
スキャンによって老朽化したソフトウェアの新たな脆弱性が検出される率に関しては、公共部門と民間部門の間に大きな違いがあります。 5 年間使用されているアプリケーションでは、民間部門ではセキュリティ上の欠陥が増加していますが、公的機関では減少しています。 この傾向は、公共部門の組織が、ライフサイクルの最初だけでなく、数年にわたってアプリケーションのセキュリティに注意を払っていることを示しています。
「State of Software Security Public Sector 2023 Report」では、政府機関がサイバーセキュリティ体制を改善するために実行できる XNUMX つのアクションを推奨しています。
- キャッチアップ: 既知のバグのバックログをできるだけ早く修正する必要があります。
- 頻繁なスキャン: スキャンが不規則であると、エラーの修正が難しくなり、バックログが増加します。
- 自動化: API を介してテストを自動化することで、アプリケーションのエラーや欠陥をより適切に回避できます。
- セキュリティ スタックへの DAST の追加: 動的スキャンを使用して、他のスキャン タイプでは見逃される脆弱性を検出します。
「公共部門は、アプリケーションのセキュリティの向上において長い道のりを歩んできました。 しかし、当局がサイバーセキュリティを向上させ、新たな脅威を防御できるようにするためには、やるべきことがまだ多くあります。 ほとんどのサイバー侵害の根本原因であるアプリケーション層にセキュリティの取り組みを集中させることで、大幅な改善を図ることができます。 さまざまなテスト方法を使用した定期的なスキャンとその後の脆弱性修復は、公共部門にとってより安全な未来への道を切り開くでしょう」と Veracode の EMEA & APAC ソリューション アーキテクト マネージャー、Julian Totzek-Hallhuber 氏は述べています。
詳細については Veracode.com をご覧ください
ベラコードについて
Veracode はインテリジェント ソフトウェア セキュリティの略です。 Veracode Software Security Platform は、最新のソフトウェア開発サイクルのあらゆる段階で欠陥や脆弱性を発見します。 数兆行のコードで訓練された強力な AI のおかげで、Veracode の顧客はエラーをより迅速かつ高精度に修正します。