Webアプリなどが依然として主要な攻撃対象――Forresterの年次アプリセキュリティレポート:セキュリティの「シフトレフト」を推奨
WhiteSourceは調査会社Forrester Researchのアプリケーションセキュリティに関する年次レポートの内容を公式ブログで紹介した。組織がオープンソースソフトウェアやサードパーティーのコンポーネントにますます依存し、より多くのAPIを外部に開放している中、どのような対策が望ましいのかが示されている。
オープンソースセキュリティとライセンスコンプライアンス管理プラットフォームを手掛けるWhiteSourceは2021年4月8日(米国時間)、調査会社Forrester Researchのアプリケーションセキュリティに関する年次レポートの最新版「The State Of Application Security, 2021」の内容を公式ブログで紹介した。
同レポートは、アプリケーションセキュリティのトレンドや、アプリケーションが依然として主要な攻撃対象となっている理由の他、組織が効果的なアプリケーションセキュリティ戦略を実行するために活用すべきツールやプロセスについて解説している。
レポートのポイントは以下の通り。
アプリケーションは依然として最大の攻撃対象
Forrester Researchが2020年に実施した調査では、「外部からのセキュリティ攻撃がどのように行われたか」という質問に対し、「Webアプリケーション(SQLインジェクション、クロスサイトスクリプティング、リモートファイル挿入)」を挙げた回答が最も多く(39%)、「ソフトウェア脆弱(ぜいじゃく)性(ソフトウェアエクスプロイト)」という回答も高い割合を占めた(30%)。
その背景として、新型コロナウイルス感染症(COVID-19)のまん延に伴うテレワークの拡大により、組織のアプリケーションへの依存が高まったことが指摘されている。
外部からのセキュリティ攻撃がどのように行われたか 調査回答者:自社が外部からの攻撃で侵害を受けた経験がある、セキュリティに関する世界の意思決定者480人(ネットワークやデータセンター、アプリケーションセキュリティ、セキュリティオペレーションのいずれかの責任者) 調査:Forrester Analytics Business Technographics Security Survey, 2020(出典:「The State Of Application Security, 2021」(Forrester))
Webアプリケーションは今後も、外部からの攻撃の主要な対象であり続けるだろうという予想がレポートに掲載されている。主な理由は3つある。
- オープンソースソフトウェアの利用拡大が続いている
- セキュリティ調査が大幅に増加しており、セキュリティ問題(多くのAPIの脆弱性を含む)の報告が増えている
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 「SASE」(サッシー)の効果はテレワークのトラフィック改善だけではない――DX実践にも欠かせない
ガートナーが2019年に提唱したセキュリティフレームワーク「SASE」(サッシー)では、ネットワークとセキュリティを包括的に扱うことを目指している。クラウドを利用してネットワークトラフィックの負荷分散ができることはもちろん、「従業員が快適に仕事をする環境を整える」という情報システム部門本来のミッションを果たしやすくするものだという。ユーザー企業が自社のネットワークをSASE対応にするメリットは何か、どうすればSASE対応にできるのか、SASEサービスを選択する際に注目すべきポイントは何だろうか。 - すぐに対策をしない理由は「自社がサイバー攻撃による被害に遭う可能性が低いから」 サイバーセキュリティクラウド
サイバーセキュリティクラウドが企業の経営層を対象に実施した「改正個人情報保護法成立後のサイバーセキュリティ対策に関する意識調査」の結果を発表した。それによるとサイバーセキュリティ対策強化の必要性を感じている経営層が多数いることが分かった。 - 「攻撃を受けたオンラインサービス」の利用者はサイバー犯罪に遭いやすい エフセキュア
エフセキュアのサイバー脅威に関するレポートによると、サイバー攻撃を受けたオンラインサービスの利用者はサイバー犯罪に遭遇する割合が大幅に高くなっていた。さらに子どもを持つ親の方がデータ漏えいやサイバー犯罪に遭いやすかった。