内製開発のアプリの脆弱性調査「アクセス制御の不備」が最多 | ScanNetSecurity
2024.04.15(月)

内製開発のアプリの脆弱性調査「アクセス制御の不備」が最多

 株式会社カスペルスキーは3月21日、企業や団体が社内で開発するWebアプリケーションの脆弱性についての調査結果を発表した。

調査・レポート・白書・ガイドライン
Kaspersky エキスパートによるWebアプリケーションの脆弱性トップ10

 株式会社カスペルスキーは3月21日、企業や団体が社内で開発するWebアプリケーションの脆弱性についての調査結果を発表した。

 Kaspersky のセキュリティアセスメント部門では、2021年から2023年に実施したWebアプリケーションのセキュリティアセスメントのプロジェクトを対象に、企業や団体が社内で開発するWebアプリケーションの脆弱性について調査を行った。対象となった企業や団体には、政府機関、IT、保険、電気通信、暗号資産(仮想通貨)、eコマース、ヘルスケアなどが含まれている。

 調査結果によると、最も割合が多かったのは「アクセス制御の不備」と「機微な情報の露出」の70%で、「サーバサイドリクエストフォージェリ(SSRF)」が57%、「SQLインジェクション」が43%で続いた。

 Kaspersky のセキュリティアセスメント部門のエキスパートが脆弱性のリスクレベルにも注目し、分析したところ、高いリスクをもたらす脆弱性の割合が最も多かったのは「SQLインジェクション」に関するもので88%となった。

 同社では、Webアプリケーションのセキュリティレベルを高め、攻撃を迅速に検知する方法として、下記を推奨している。

・セキュアなソフトウェア開発ライフサイクル(SSDLC)を採用する
・アプリケーションのセキュリティ評価を定期的に実施する
・ロギングとモニタリングの仕組みを使ってアプリケーションの運用状況を追跡する

《高橋 潤哉》

編集部おすすめの記事

特集

調査・レポート・白書・ガイドライン アクセスランキング

  1. プルーフポイント、マルウェア配布する YouTube チャンネル特定

    プルーフポイント、マルウェア配布する YouTube チャンネル特定

  2. IT部門か全員かそれとも政府か ~ サイバー攻撃から守る責任は誰にある? KnowBe4 調査

    IT部門か全員かそれとも政府か ~ サイバー攻撃から守る責任は誰にある? KnowBe4 調査

  3. 日本のセキュリティ人材の 74 %、2023年に昇給なし

    日本のセキュリティ人材の 74 %、2023年に昇給なし

  4. 7月のフィッシング報告状況、「.cn ドメイン」のフィッシングメールを多く確認

  5. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  6. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  7. 復旧失敗確率 3 分の 2、ランサムウェア身代金支払い ~ JIPDEC、ITR 調査

  8. 初動対応者同士の情報共有が不可欠 ランサムウェア攻撃への対応

  9. 日経225企業のDMARC対応、実効性のあるポリシー設定は調査国中最低 ~ プルーフポイント調査

  10. 「セキュリティ技術者の“思考”を覗く」~ SHIFT SECURITY、17種類のサイバー攻撃の解説と対策資料公開

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×