レポート: 政府アプリケーションの高い脆弱性率

23。 7月2023
| コメントはありません
レポート: 政府アプリケーションの高い脆弱性率

投稿を共有する

State of Software Security Report の第 13 版では、ソフトウェア環境の傾向とセキュリティ慣行がどのように進化しているかを公開しています。 結果の一部は憂慮すべきものです。公共部門で開発されたアプリケーションの 82% で少なくとも 74 つのセキュリティ脆弱性が発見されましたが、民間企業では XNUMX% でした。

State of Software Security の調査によると、公共部門のアプリケーションは民間部門のアプリケーションよりもセキュリティの脆弱性が多い傾向にあります。 アプリケーションのエラーや脆弱性の数が増えると、セキュリティ リスクの増加と相関します。 この調査は、デジタル要素を備えた製品に追加の最低セキュリティ要件を導入することを目的とした EU サイバーレジリエンス法など、サイバーセキュリティを向上させるための世界政府の多数の取り組みを背景に実施されました。 27 のアプリケーションにおける 750.000 万件以上のスキャンデータの分析が、Veracode の最新の年次報告書の基礎となりました

セキュリティホールのあるアプリケーションが多数ある

🔎 公共部門は他の組織に比べて長年にわたって脆弱性が少なかった (画像: Veracode)。

研究者らは、公共部門の組織が開発したアプリケーションの約 82% に少なくとも 74 つのセキュリティ脆弱性があることを発見しました。 これに対し、民間企業では 12% です。 研究のデータは過去 12 か月以内に収集されました。 特定された脆弱性の種類に応じて、過去 7 か月以内に公共部門のアプリケーションに脆弱性が組み込まれた可能性が 12 ~ XNUMX% 高くなりました。

この数字だけでは、ハッカーがバグや脆弱性を悪用したときに起こる結果を反映していません。 たとえば、昨年 XNUMX 月、ドイツ商工会議所に対するサプライ チェーン攻撃により、IT システム、デジタル サービス、電話、電子メール サーバーが完全に停止しなければならなくなりました。 重要なサービスは攻撃直後に再び利用可能になりましたが、完全な機能が復元されるまでに XNUMX か月以上かかりました。

公共部門における深刻な脆弱性

「重大度の高い」脆弱性に関しては、公共部門が優位に立っています。 12 か月の調査期間を通じて、重大なセキュリティ脆弱性のあるアプリケーションの割合は、民間企業 (16,5%) よりも公共部門 (19%) の方が低かった。 重大度の高い脆弱性が悪用されると、システム全体に影響を与える可能性が高くなります。

最新のアプリケーション テストでは、静的アプリケーション セキュリティ テスト (SAST) やソフトウェア構成分析 (SCA) などのセキュリティ スキャン ツールの使用が推奨されています。 スキャンの種類が異なれば、さまざまな種類の脆弱性が発見される可能性があります。 SAST と SCA は、公共部門のアプリケーションでは民間企業のアプリケーションよりも欠陥の割合が低いことを発見しました。

転ばぬ先の杖

スキャンによって老朽化したソフトウェアの新たな脆弱性が検出される率に関しては、公共部門と民間部門の間に大きな違いがあります。 5 年間使用されているアプリケーションでは、民間部門ではセキュリティ上の欠陥が増加していますが、公的機関では減少しています。 この傾向は、公共部門の組織が、ライフサイクルの最初だけでなく、数年にわたってアプリケーションのセキュリティに注意を払っていることを示しています。

「State of Software Security Public Sector 2023 Report」では、政府機関がサイバーセキュリティ体制を改善するために実行できる XNUMX つのアクションを推奨しています。

  • キャッチアップ: 既知のバグのバックログをできるだけ早く修正する必要があります。
  • 頻繁なスキャン: スキャンが不規則であると、エラーの修正が難しくなり、バックログが増加します。
  • 自動化: API を介してテストを自動化することで、アプリケーションのエラーや欠陥をより適切に回避できます。
  • セキュリティ スタックへの DAST の追加: 動的スキャンを使用して、他のスキャン タイプでは見逃される脆弱性を検出します。

「公共部門は、アプリケーションのセキュリティの向上において長い道のりを歩んできました。 しかし、当局がサイバーセキュリティを向上させ、新たな脅威を防御できるようにするためには、やるべきことがまだ多くあります。 ほとんどのサイバー侵害の根本原因であるアプリケーション層にセキュリティの取り組みを集中させることで、大幅な改善を図ることができます。 さまざまなテスト方法を使用した定期的なスキャンとその後の脆弱性修復は、公共部門にとってより安全な未来への道を切り開くでしょう」と Veracode の EMEA & APAC ソリューション アーキテクト マネージャー、Julian Totzek-Hallhuber 氏は述べています。

詳細については Veracode.com をご覧ください

 

ベラコードについて

Veracode はインテリジェント ソフトウェア セキュリティの略です。 Veracode Software Security Platform は、最新のソフトウェア開発サイクルのあらゆる段階で欠陥や脆弱性を発見します。 数兆行のコードで訓練された強力な AI のおかげで、Veracode の顧客はエラーをより迅速かつ高精度に修正します。

 

トピックに関連する記事

5G環境を保護するサイバーセキュリティプラットフォーム

サイバーセキュリティの専門家であるトレンドマイクロが、組織の拡大し続ける攻撃対象領域を保護するためのプラットフォームベースのアプローチを発表しました。 ➡続きを読む

データ操作、過小評価されている危険性

毎年 31 月 XNUMX 日の世界バックアップの日は、最新の簡単にアクセスできるバックアップの重要性を思い出させるものです。 ➡続きを読む

セキュリティリスクとしてのプリンター

企業のプリンター群はますます盲点になりつつあり、その効率性とセキュリティーに関して大きな問題を引き起こしています。 ➡続きを読む

AI 法とそのデータ保護への影響

AI 法により、AI に関する最初の法律が承認され、AI アプリケーションのメーカーに 6 か月から 6 か月の猶予期間が与えられました。 ➡続きを読む

Windows オペレーティング システム: 約 200 万台のコンピュータが危険にさらされています

Windows 7 および 8 オペレーティング システムのアップデートはもうありません。これは、セキュリティ上のギャップが開いていることを意味するため、価値があり、 ➡続きを読む

エンタープライズ ストレージ上の AI がランサムウェアとリアルタイムで戦う

NetApp は、ランサムウェアと戦うために人工知能 (AI) と機械学習 (ML) をプライマリ ストレージに直接統合した最初の企業の 1 つです ➡続きを読む

ゼロトラスト データ セキュリティのための DSPM 製品スイート

データ セキュリティ体制管理 (略して DSPM) は、企業が多数のデータに対するサイバー回復力を確保するために不可欠です。 ➡続きを読む

データ暗号化: クラウド プラットフォームのセキュリティを強化

最近では Trello など、オンライン プラットフォームがサイバー攻撃の標的になることがよくあります。クラウドでより効果的なデータ暗号化を実現する 5 つのヒント ➡続きを読む

広報メッセージ
, , , , ,