アプリケーションの脅威
近年、アプリケーションの脆弱性はますます一般的になっています。 2021年には、 20,169件の新しい共通脆弱性識別子(CVE) がNational Vulnerability Database(NVD)に追加されました。 これは、本番環境で発見された脆弱性の数が、前年の18,325件から10%以上増加したことを意味します。
新しいアプリケーションの脆弱性が急速に増加しているため、これらの問題を修正するためのパッチを特定、テスト、および展開する組織の能力を上回っています。 その結果、企業は悪用可能な脆弱性を含むアプリケーションを実行するのが一般的です。
これらの脆弱性を悪用することで、サイバー脅威アクターはさまざまな目的を達成することができます。 エクスプロイトが成功すると、コストがかかり、損害を与えるデータ侵害が発生したり、攻撃者が組織のIT環境内にランサムウェアやその他のマルウェアを展開したりする可能性があります。 また、一部の脆弱性を利用して、企業システムに対して サービス拒否 (DoS)攻撃を実行し、組織とその顧客にサービスを提供できなくなる可能性があります。
一般的なアプリケーションの脆弱性の悪用
斬新なエクスプロイトやゼロデイ攻撃は定期的に行われていますが、これらは多くの場合、少数の脆弱性を利用しています。 これらの脆弱性の多くは何年も前から知られていましたが、アプリケーションコード内に出現し続けています。
OWASP Top Ten Listは、アプリケーション(Webアプリケーションに重点を置いた)に出現する最も一般的で影響の大きい脆弱性のいくつかに焦点を当てた有名なリソースです。 OWASP Top 10リストの最新版は2021年にリリースされ、以下の10件の脆弱性が含まれています。
- アクセス制御の不備
- 暗号化の失敗
- 注射
- 安全でない設計
- セキュリティの設定ミス
- 脆弱で古いコンポーネント
- 識別と認証の失敗
- ソフトウェアとデータの整合性の障害
- セキュリティ ログと監視の失敗
- サーバーサイドリクエストフォージェリ
このリストでは、問題の根本原因に焦点を当てて、脆弱性の一般的なクラスについて説明します。 Common Weaknesses Enumeration (CWE) は、特定の問題の特定のインスタンスに関する情報を提供します。 OWASP Top Ten の各脆弱性には、関連する CWE が 1 つ以上リストされています。 たとえば、Cryptographic Failures には、ハードコードされた暗号化キーの使用や暗号化署名の不適切な検証など、マップされた 29 個の CWE のリストが含まれています。
アプリケーションセキュリティの必要性
企業は、コアビジネスプロセスを実行し、顧客にサービスを提供するために、ITシステムやアプリケーションへの依存度が高まっています。 これらのアプリケーションは機密性の高いデータにアクセスでき、ビジネスの運営に不可欠です。
アプリケーション・セキュリティ (AppSec)は、組織が顧客データを保護し、サービスを維持し、法的および規制上の義務を遵守するために不可欠です。 アプリケーションの脆弱性は、企業とその顧客に大きな影響を与える可能性があり、それらを修正するには多大な時間とリソースがかかります。 ソフトウェア開発ライフサイクルの早い段階で脆弱性を特定して修正することで、組織はこれらの脆弱性のコストと組織への影響を最小限に抑えることができます。
Feedback