診断結果にみる情報セキュリティの現状 ~2023年上半期 診断結果分析~

Share

SQAT® Security Report 2023-2024年秋冬号

2023年上半期診断結果分析サムネ画像(PCの画面イメージ)

BBSecの脆弱性診断

システム脆弱性診断で用いるリスクレベル基準

BBSecのシステム脆弱性診断は、独自開発ツールによる効率的な自動診断と、セキュリティエンジニアによる高精度の手動診断を組み合わせて実施しており、高い網羅性とセキュリティ情勢を反映した診断を実現するため、セキュリティエンジニアおよびセキュリティアナリストが高頻度で診断パターンを更新し、診断品質の維持・向上に努めている。検出された脆弱性に対するリスク評価のレベル付けは、右表のとおり。

脆弱性診断サービスの基本メニューである「Webアプリケーション脆弱性診断」・「ネットワーク脆弱性診断」の2023年上半期(1月~6月)実施結果より、セキュリティ対策の実情についてお伝えする。

2023年上半期診断結果

Webアプリ/NW診断実績数

2023年上半期、当社では12業種延べ553企業・団体、3,396システムに対して、脆弱性診断を行った(Webアプリケーション/ネットワーク診断のみの総数)。

2023年上半期システム脆弱性診断 脆弱性検出率の棒・円グラフ

9割のシステムに脆弱性

「Webアプリケーション診断結果」の棒グラフのとおり、Webアプリケーションに おいて、なんらかの脆弱性が存在するシステムは9割前後で推移を続けている。検出された脆弱性のうち危険度レベル「高」以上(緊急・重大・高)の割合は17.5%で、6件に1件近い割合で危険な脆弱性が検出されたことになる。

一方、ネットワーク診断では、なんらかの脆弱性があるとされたシステムは約半数だったが、そのうちの危険度「高」レベル以上の割合は23.8%で、5件に1件以上の割合であった。

以上のとおり、全体的な脆弱性検出率については、前期と比較して大きな変化はない。当サイトでは、「2023年上半期カテゴリ別脆弱性検出状況」とし、検出された脆弱性を各カテゴリに応じて分類しグラフ化している。

Webアプリケーション診断結果

高リスク以上の脆弱性ワースト10

リスクレベル高以上の脆弱性で検出数が多かったものを順に10項目挙げてみると、下表のような結果となった。

長年知られた脆弱性での攻撃

「Webアプリ編」について、1位、2位は前期同様「クロスサイトスクリプティング(以降:XSS)」と「HTMLタグインジェクション」となった。3位以下は、脆弱性項目は前期からあまり変化はないものの、「SQLインジェクション」が順位を上げた。

3位の「サポートが終了したバージョンのPHP使用の可能性」など、サポートが終了したバージョンのコンポーネント(プログラム言語、ライブラリ等)の使用がワースト10の4項目を占めている。サポート終了とはすなわち、新たに脆弱性が発見された場合でもコンポーネントの提供元は基本的に対処しないということであり、危殆化に対する利用者側での対策が困難となるため、継続利用は危険である。例えば、サポートが終了した製品についての脆弱性情報の公開が契機になり、攻撃コードが公開され、攻撃が活発化することも考えられる。最新バージョンへのアップデートを迅速に、定期的に実施すべきである。

ネットワーク診断結果

高リスク以上の脆弱性ワースト10

ネットワーク診断結果に関しても、リスクレベル高以上の脆弱性で検出数が多かったものを順に10項目挙げてみると、下表のような結果となった。

高リスク以上の脆弱性ワースト10(2023年上半期)NW編の表

アクセス制御が不適切な認証機構の検出がランクイン

「ネットワーク編」のワースト10については、ワースト4までが前期と変わらず、5位、6位は順入れ替えという結果で、あまり大きな変動は見られなかったが、8位の「アクセス制御が不適切な認証機構の検出」が前期圏外からランクインした。「アクセス制御が不適切な認証機構」には、特権アカウントやデフォルトアカウント等を使用してログインできる脆弱性も含まれる。特権アカウントがデフォルトのまま、もしくは推測されやすい認証情報で設定されていた場合はさらに危険である。デフォルトアカウントやデフォルトパスワードを使用せず、推測されにくい複雑なパスワードを設定することや、ログイン画面に対するアクセスを強固に制御すること、特権アカウントは必要最小限のユーザにのみ付与することなどが推奨される。

カテゴリ別の検出結果詳細についてはこちら

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceのサムネ
BBsecサムネ
セキュリティ緊急対応のバナー画像
セキュリティトピックス告知のサムネ

2023年上半期 カテゴリ別脆弱性検出状況

Share

SQAT® Security Report 2023-2024年秋冬号

Webアプリケーション診断結果

2023年上半期診断結果_Webアプリケーション診断結果の円グラフ
2023年上半期診断結果_「セッション管理に関する問題」棒グラフ
2023年上半期診断結果_「システム情報・ポリシーに関する問題」棒グラフ
2023年上半期診断結果_「重要情報の取り扱いに関する問題」棒グラフ
2023年上半期診断結果_「認証に関する問題」棒グラフ
2023年上半期診断結果_「入出力制御に関する問題」棒グラフ

診断結果にみる情報セキュリティの現状はこちら

ネットワーク診断結果

2023年上半期カテゴリ別診断結果円グラフ(NW)
2023年上半期診断結果_「バージョンパッチ管理に関する問題」棒グラフ

脆弱性が存在するバージョンのOS・アプリケーション・サービスの検出割合

2023年上半期診断結果_「通信の安全性に関する問題」棒グラフ
2023年上半期診断結果_「設定に関する問題」棒グラフ
2023年上半期診断結果_「ネットワークサービスに関する問題」棒グラフ

診断結果にみる情報セキュリティの現状はこちら

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceのサムネ
BBsecサムネ
セキュリティ緊急対応のバナー画像
セキュリティトピックス告知のサムネ

診断結果にみる情報セキュリティの現状
~2022年下半期 診断結果分析~

Share

SQAT® Security Report 2023年 春夏号

2021年下半期診断結果分析サムネ画像(PCの画面イメージ)

BBSecの脆弱性診断

システム脆弱性診断で用いるリスクレベル基準

BBSecのシステム脆弱性診断は、独自開発ツールによる効率的な自動診断と、セキュリティエンジニアによる高精度の手動診断を組み合わせて実施しており、高い網羅性とセキュリティ情勢を反映した診断を実現するため、セキュリティエンジニアおよびセキュリティアナリストが高頻度で診断パターンを更新し、診断品質の維持・向上に努めている。検出された脆弱性に対するリスク評価のレベル付けは、右表のとおり。

脆弱性診断サービスの基本メニューである「Webアプリケーション脆弱性診断」・「ネットワーク脆弱性診断」の2022年下半期(7月~12月)実施結果より、セキュリティ対策の実情についてお伝えする。

2022年下半期診断結果

Webアプリ/NW診断実績数

2022年下半期、当社では12業種延べ510企業・団体、3,964システムに対して、脆弱性診断を行った(Webアプリケーション/ネットワーク診断のみの総数)。

2022年下半期システム脆弱性診断 脆弱性検出率の棒・円グラフ

9割のシステムに脆弱性

「Webアプリケーション診断結果」の棒グラフのとおり、Webアプリケーションに おいて、なんらかの脆弱性が存在するシステムは9割前後で推移を続けている。検出された脆弱性のうち危険度レベル「高」以上(緊急・重大・高)の割合は19.0%で、5件に 1件近い割合で危険な脆弱性が検出されたことになる。

一方、ネットワーク診断では、なんらかの脆弱性があるとされたシステムは約半数だったが、そのうちの危険度「高」レベル以上の割合は23.3%で、5件に1件以上の割合であった。

以上のとおり、全体的な脆弱性検出率については、前期と比較して大きな変化はない。当サイトでは、「2022年下半期カテゴリ別脆弱性検出状況」とし、検出された脆弱性を各カテゴリに応じて分類しグラフ化している。

Webアプリケーション診断結果

高リスク以上の脆弱性ワースト10

リスクレベル高以上の脆弱性で検出数が多かったものを順に10項目挙げてみると、下表のような結果となった。

高リスク以上の脆弱性ワースト10(2022年下半期)Webアプリ編の表

長年知られた脆弱性での攻撃

Webアプリ編ワースト10の上位3項目は、前期と同じで、いまだ検出数が多い。いずれもよく知られた脆弱性ばかりなため、悪用された場合、セキュリティの基本的な対策を怠っている組織と認識され、信用失墜につながる。

「クロスサイトスクリプティング」に起因する情報漏洩は実際に報告されている。4位の「不適切な権限管理」は前期7位より順位を上げた。この脆弱性は、本来権限のない情報・機能へのアクセスや操作が可能な状態を指し、「OWASP Top 10(2021)」では、首位の「A01:2021-アクセス制御の不備」に該当する。一般ユーザであるはずが、処理されるリクエストを改竄することで管理者権限での操作が可能になる等により、個人情報や機密情報の漏洩・改竄、システムの乗っ取り、といった甚大な被害を招く恐れがある。外部から値を操作できないようにするのはもちろんのこと、各機能に対する適切なアクセス制御を実装することが推奨される。

ネットワーク診断結果

高リスク以上の脆弱性ワースト10

ネットワーク診断結果に関しても、リスクレベル高以上の脆弱性で検出数が多かったものを順に10項目挙げてみると、下表のような結果となった。

高リスク以上の脆弱性ワースト10(2022年下半期)NW編の表

SNMPにおけるデフォルトのコミュニティ名の検出

ネットワーク編のワースト10もほぼお馴染みの顔ぶれであるところ、「SNMPにおけるデフォルトのコミュニティ名の検出」が9位に初ランクインした。SNMPは、システム内 部のステータスや使用ソフトウェア等の各種情報取得に利用されるプロトコルで、管理するネットワークの範囲をグルーピングして「コミュニティ」とする。コミュニティ名に は、ネットワーク機器のメーカーごとに「public」等のデフォルト値がある。SNMPにおけるコミュニティ名はパスワードのようなものであるため、デフォルトのままだと、これ を利用して攻撃者に接続され、攻撃に有用なネットワークの内部情報を取得される恐れがある。コミュニティ名にはデフォルト値を使用しないこと、また、SNMPへの接続には強固なアクセス制御を実施することが推奨される。

カテゴリ別の検出結果詳細についてはこちら

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

2022年下半期 カテゴリ別脆弱性検出状況

Share

SQAT® Security Report 2023年 春夏号

Webアプリケーション診断結果

2022年下半期カテゴリ別診断結果円グラフ(Web)
2022年下半期診断結果_「セッション管理に関する問題」棒グラフ
2022年下半期診断結果_「システム情報・ポリシーに関する問題」棒グラフ
2022年下半期診断結果_「重要情報の取り扱いに関する問題」棒グラフ
2022年下半期診断結果_「認証に関する問題」棒グラフ
2022年下半期診断結果_「入出力制御に関する問題」棒グラフ

診断結果にみる情報セキュリティの現状はこちら

ネットワーク診断結果

2022年下半期カテゴリ別診断結果円グラフ(NW)

脆弱性が存在するバージョンのOS・アプリケーション・サービスの検出割合

2022年下半期診断結果_「通信の安全性に関する問題」棒グラフ
2022年下半期診断結果_「設定に関する問題」棒グラフ

診断結果にみる情報セキュリティの現状はこちら

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

2022年上半期 カテゴリ別脆弱性検出状況

Share

SQAT® Security Report 2022-2023年 秋冬号

Webアプリケーション診断結果

Webアプリケーション診断結果の円グラフ
セッション管理に関する問題棒グラフ
システム情報・ポリシーに関する問題棒グラフ
重要情報の取り扱いに関する問題棒グラフ
認証に関する問題棒グラフ
入出力制御に関する問題棒グラフ

診断結果にみる情報セキュリティの現状はこちら

ネットワーク診断結果

ネットワーク診断結果円グラフ
バージョン・パッチ管理に関する問題グラフ

脆弱性が存在するバージョンのOS・アプリケーション・サービスの検出割合

通信の安全性に関する問題棒グラフ
設定に関する問題棒グラフ
ネットワークサービスに関する問題棒グラフ

診断結果にみる情報セキュリティの現状はこちら

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

診断結果にみる情報セキュリティの現状
~2022年上半期 診断結果分析~

Share

SQAT® Security Report 2022-2023年 秋冬号

2021年下半期診断結果分析サムネ画像(PCの画面イメージ)

BBSecの脆弱性診断

システム脆弱性診断で用いるリスクレベル基準

当社のシステム脆弱性診断は、独自開発ツールによる効率的な自動診断と、セキュリティエンジニアによる高精度の手動診断を組み合わせて実施している。検出された脆弱性に対するリスク評価のレベル付けは、右表のとおり。

脆弱性診断サービスの基本メニューである「Webアプリケーション脆弱性診断」・「ネットワーク脆弱性診断」の2022年上半期(1月~6月)実施結果より、セキュリティ対策の実情についてお伝えする。

2022年上半期診断結果

Webアプリ/NW診断実績数

2022年上半期、当社では12業種延べ611企業・団体、3,448システムに対して、脆弱性診断を行った(Webアプリケーション/ネットワーク診断のみの総数)。

システム脆弱性診断 脆弱性検出率グラフ

9割のシステムに脆弱性

「Webアプリケーション診断結果」の棒グラフのとおり、Webアプリケーションにおいて、なんらかの脆弱性が存在するシステムは9割前後で推移を続けている。検出された脆弱性のうち危険度レベル「高」以上(緊急・重大・高)の割合は22.3%で、5件に1件以上の割合でリスクレベルの高いものが出ていることになる。

一方、ネットワーク診断では、脆弱性ありと評価されたシステムは半分強というところだ。ただし、検出された脆弱性に占める危険度高レベル以上の割合は22.1%にのぼり、こちらも5件に1件以上の割合となる。

以上のとおり、全体的な脆弱性検出率については、前期と比較して大きな変化はない。当サイトでは、「2022年上半期カテゴリ別脆弱性検出状況」とし、検出された脆弱性を各カテゴリに応じて分類しグラフ化している。

Webアプリケーション診断結果

高リスク以上の脆弱性ワースト10

リスクレベル高以上の脆弱性で検出数が多かったものを順に10項目挙げてみると、下表のような結果となった。

高リスク以上の脆弱性ワースト10リスト

長年知られた脆弱性での攻撃

上位ワースト10はいずれも、Webアプリケーションのセキュリティ活動を行っている国際的非営利団体OWASP(Open Web Application Security Project)が発行している「OWASP Top 10(2021)」でいうところの、「A03:2021 – インジェクション」「A07:2021 – 識別と認証の失敗」「A06:2021 – 脆弱で古くなったコンポーネント」「A02:2021 – 暗号化の失敗」「A01:2021 – アクセス制御の不備」等に該当する。

1位の「クロスサイトスクリプティング」や6位の「SQLインジェクション」は、長年知られた脆弱性である上、攻撃を受けると深刻な被害となりかねないにも関わらず、いまだ検出され続けているのが実情だ。

攻撃者による悪意あるコードの実行を許さぬよう、開発段階において、外部からのデータに対する検証処理と出力時の適切な文字列変換処理の実装を徹底していただきたい。

ネットワーク診断結果

高リスク以上の脆弱性ワースト10

ネットワーク診断結果に関しても、リスクレベル高以上の脆弱性で検出数が多かったものを順に10項目挙げてみると、下表のような結果となった。

高リスク以上の脆弱性ワースト10リスト

推奨されないバージョンのSSL/TLS

1位の「推奨されないSSL/TLS」が圧倒的に多い。既知の脆弱性がある、あるいはサポートがすでに終了しているコンポーネントの使用も目立つ。このほか、特にリスクレベルが高いものとして懸念されるのが、FTP(4位)やTelnet(7位)の検出だ。これらについては、外部から実施するリモート診断よりもオンサイト診断における検出が目立つ。つまり、内部ネットワークにおいても油断は禁物ということである。FTPやTelnetのような暗号化せず通信するサービスはそもそも使用するべきでなく、業務上の理由等から利用せざるを得ない場合は強固なアクセス制御を実施するか、暗号化通信を使用する代替サービスへの移行をご検討いただきたい。

カテゴリ別の検出結果詳細についてはこちら

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

認証技術は今

Share
バックナンバーアイコン画像

SQAT® Security Report 2021-2022年秋冬号

スマートフォンでパスワード認証をする人のイメージ

※本記事は、SQAT®Security Report 2021-2022年秋冬号の記事、
「認証技術は今」の一部抜粋になります。

認証とは、主に、特定の場所への入場や特定のシステムの利用などにあたって、「その人物が確かに入場や利用を許可された当人であるか」確認することを指す。認証技術は、様々なシステムにおいてユーザの真正性を確認するためのものであり、セキュリティの要といえる。本稿では、Webサービスおよびスマートフォン(以下、スマホ)アプリにおけるユーザ認証技術について、昨今の実情を今一度整理し、セキュアなシステム構築のためにどのような認証機構が求められているのかを探る。

認証をとりまくリスク

サイバー攻撃のうち、認証の仕組みに不備があることにより発生するのが、アカウントの乗っ取りである。最近報告された国内のインシデントには以下のような例がある。

報告時期インシデント影響
2021年6月大学研究員のメールアカウントの不正利用*1海外の不特定多数の宛先に迷惑メールが送信された。
2021年2月メッセージングアプリアカウントへの不正アクセス*23,000を超える認証情報が流出した恐れ。
2020年9月電子決済サービス不正口座利用*3多数の銀行口座から不正引き出し。金融庁が対応要請を出した。

パスワード認証の限界

ID・パスワードによるログインを試行する攻撃手法は複数あるが、パスワードリスト攻撃の一種で、ボットにより大量の不正ログインを試みるCredential Abuseは、1日に億単位で実行されている。このうち特に金銭被害に直結しがちな情報を保持する金融サービス業では、1日あたり数千万件との報告もある(下・折れ線グラフ)。

Credential Abuseの試行数の折れ線グラフ
出典:Akamai Technologies, Inc.「SOTI インターネットの現状/セキュリティ」レポート第2号『金融業界に対するフィッシング攻撃』
https://www.akamai.com/jp/ja/multimedia/documents/state-of-the-internet/soti-security-phishing-for-finance-report-2021.pdf

しかしながら、どれほどサービス提供側が警告を発したとしても、ユーザは複数のサービスで同じパスワードを使いがちだ。実際、複雑なパスワードを設定するのも、複数の異なるパスワードを管理するのも面倒である。ヒトの記憶に頼るパスワード認証という方法の宿命と言えるだろう。

認証の3要素

ここで、そもそも認証にはどのような要素があるか、おさらいしたい。認証の要素になり得るのは、その本人だけに属するモノ・コトだ。次のとおり、(…続き)


本記事はここまでになります。

この記事の続きでは、単要素認証(パスワードのみの認証など)と多要素認証(パスワード+スマホで受信した認証コードなど)それぞれのリスクと認証情報漏洩を防ぐための暗号化技術をご紹介し、安全な認証実現に対して企業がどのように取り組むべきかということについて解説しています。ぜひご一読ください。

※参考(続き)
contents
3.主な認証技術
4.パスワード認証以外なら安全か
5.リスクをできるだけ回避する多要素認証
6.情報漏洩対策のための暗号化
7.「高機能暗号技術」による保護
8.安全な認証実現のために
9.まずは現状の認証が安全か確認することから

下記より無料でダウンロードいただけます。

まずは無料で資料をダウンロード

年二回発行されるセキュリティトレンドの詳細レポートをダウンロードできるURLをお送りいたします。
見積もりについてのご相談は、お問い合わせよりご連絡ください。


Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

2021年下半期 カテゴリ別脆弱性検出状況

Share

SQAT® Security Report 2022年 春夏号

Webアプリケーション診断結果

診断結果にみる情報セキュリティの現状はこちら

ネットワーク診断結果

脆弱性が存在するバージョンのOS・アプリケーション・サービスの検出割合

診断結果にみる情報セキュリティの現状はこちら

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

診断結果にみる情報セキュリティの現状
~2021年下半期 診断結果分析~

Share

SQAT® Security Report 2022年 春夏号

2021年下半期診断結果分析サムネ画像(PCの画面イメージ)

BBSecの診断について

当社では、Webアプリケーション、ネットワーク(プラットフォーム)に対する脆弱性診断をはじめとして、スマホアプリ、パブリッククラウド、ソースコード、IoT、ペネトレーションテスト、標的型ランサムウェア攻撃におけるリスク可視化等、様々な局面における診断サービスを提供している。こうした診断による検出・分析結果は、メリハリある的確なセキュリティ対策の実施にお役立ていただいている。

診断品質向上のために

システム脆弱性診断で用いるリスクレベル基準

当社の脆弱性診断サービスは、独自開発ツールによる効率的な自動診断と、セキュリティエンジニアによる高精度の手動診断を組み合わせて実施している。検出された脆弱性に対するリスク評価のレベル付けは、右表のとおり。

高い網羅性のある脆弱性の検出、お客様のシステム特性に応じたリスクレベル評価、個別具体的な解決策の提供が行えるよう、セキュリティエンジニアおよびセキュリティアナリストが高頻度で診断パターンを更新することで、診断品質の維持・向上に努めている。

2021年下半期診断結果

Webアプリ/NW診断実績数

2021年7月から12月までの6ヶ月間に、当社では14業種延べ560企業・団体、3,949システムに対して、システム脆弱性診断を行った(Webアプリケーション/ネットワーク診断のみの総数)。前期2021年上半期(1月~6月)より、診断対象システム数は300件近く増加した。

システム脆弱性診断 脆弱性検出率(2021年下半期)

9割のシステムに脆弱性

「Webアプリケーション診断結果」の棒グラフのとおり、Webアプリケーション診断では、なんらかの脆弱性が存在するシステムの割合が9割前後で推移し続けている。検出された脆弱性のうち、危険度レベル「高」以上(緊急・重大・高)の割合は21.0%で、検出された脆弱性全体のおよそ5件に1件がリスクレベルの高いもの、ということになる。前期の高レベル以上の割合は23.9%だったため今期微減だが、ほぼ横ばいと言える。

「ネットワーク診断結果」の棒グラフでは、脆弱性なしと評価されたシステムが4割強を占めている。しかしながら、検出された脆弱性に占める危険度高レベル以上の脆弱性の割合は30.8%にのぼり、検出脆弱性のおよそ3件に1件が危険度の高い項目、ということになる。前期の高レベル以上の割合は28.3%だったため今期微増だが、ほぼ横ばいである。

以上のとおり、全体的な脆弱性検出率については、前期と比較して大きな変化はない。当サイトでは、「2021年下半期カテゴリ別脆弱性検出状況」とし、検出された脆弱性を各カテゴリに応じて分類しグラフ化している。

Webアプリケーション診断結果

高リスク以上の脆弱性ワースト10

5つに分類された各カテゴリの検出割合( 「2021年下半期カテゴリ別脆弱性検出状況」掲載の円グラフ参照)については、前期とほぼ変わらず、各カテゴリにおける脆弱性の検出数ごとの数量も大幅な変動はなかった。リスクレベル高以上の脆弱性で検出数が多かったものを順に10項目挙げてみると、下表のような結果となった。

高リスク以上の脆弱性ワースト10(2021年下半期)Webアプリ編

代表的な脆弱性はいまだ健在

上位ワースト10はいずれも、Webアプリケーションのセキュリティ活動を行っている国際的非営利団体OWASP(Open Web Application Security Project)が発行している「OWASP Top 10(2021)」に含まれていることがわかる。

ワースト1となった「クロスサイトスクリプティング」(以下、XSS)はWebアプリケーションにおける脆弱性の代表格とも言える。認知度の高い脆弱性でありながら、いまだに根絶されていない。XSSが存在するシステムには、ワースト2の「HTMLタグインジェクション」が共に検出されることが多い。出力データの検証が適切に実施されていないことがうかがえる。

ワースト6の「SQLインジェクション」もまた、メジャーな脆弱性の1つだ。XSSと同じく入出力制御に問題がある。昨今でもなお、SQLインジェクションによる情報漏洩事例が報告されている。データベースの不正操作を許せば、事業活動に必要なデータをすべて消去されるといった最悪の事態も発生しうるため、放置するのは非常に危険である。

独立行政法人情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)に対する届出においても、XSSが58%と約6割を占め、SQLインジェクションもそれに次ぐ多さとのことだ。*4

いずれの脆弱性も、セキュアなWebアプリケーション構築を実践できていないことを証明するものだ。開発の上流工程において、そうした脆弱性が作りこまれないような対策を行うことが大切である。

ネットワーク診断結果

高リスク以上の脆弱性ワースト10

ネットワーク診断結果に関しても、5つに分類された各カテゴリの検出割合 (「2021年下半期カテゴリ別脆弱性検出状況」掲載の円グラフ参照)において、前期と比較して特段目立つような差は見られなかった。ただ、「通信の安全性に関する問題」に関しては、「推奨されない暗号化方式の受け入れ」「推奨されないSSL/TLS方式の使用」「脆弱な証明書の検出」に分類される脆弱性項目が、それぞれ200件前後ずつ増加していることがわかった。

リスクレベル高以上の脆弱性で検出数が多い10項目は下表のとおりである。

高リスク以上の脆弱性ワースト10(2021年下半期)NW編

推奨されないバージョンのSSL/TLS

先に述べた、前期より検出数が増加している「通信の安全性に関する問題」のうち、「推奨されないバージョンのSSL/TLSのサポート」はリスクレベル高以上である。これは、SSL2.0、3.0、またはTLS1.0、1.1を使用した暗号化通信が許可されている場合に指摘している項目で、今期ワースト1の検出数だ。CRYPTREC作成/IPA発行の「TLS 暗号設定ガイドライン」は、2020年7月に第3.0.1版が公開されている。こちらを参考に、SSLの全バージョンとTLS1.1以下を無効にし、もし、TLS1.2、なるべくなら1.3の実装がまだであれば、早急に対応する必要がある。

カテゴリ別の検出結果詳細についてはこちら

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

パブリッククラウド利用システムにおける
セキュリティ診断

Share

SQAT® Security Report 2019年9月号

雲とネットワークのイメージ図

※本記事は、SQAT®Security Report 2019年 9月号の記事、
「パブリッククラウド利用システムにおけるセキュリティ診断」の一部抜粋になります。

増えるパブリッククラウド利用とセキュリティ事情

クラウドサービスは、自社でサーバを抱える必要がないことから、導入および運用コストが大幅に削減できるため、今や企業ネットワーク環境構築における選択肢の1つとなっており、オンプレミスからクラウドに移行する企業は増えている(下グラフ参照)。その際、スケジュール等の事情によりシステムを見直す余裕がなく、そのままの状態で移行せざるを得ないケースもあるのが実情だろう。しかしながら、開発や改修後のリリース前にシステムの脆弱性診断を実施すべきであるのは、クラウドへの移行時も例外ではない。

クラウドサービスの利用状況

出典:総務省「平成30年通信利用動向調査の結果」(令和元年5月31日公開)

自組織が業務用のパブリッククラウド(AWS、Microsoft Azure等)を利用している場合、ハードウェアまではクラウド事業者が管理しているが、OSおよびそれより上の層については利用企業側に責任があることを忘れてはならない。パブリッククラウド上のWebアプリケーションやECツール等で使用しているOS、ミドルウェア、アプリケーションといった各コンポーネントは、経年により脆弱性が発見される宿命だ。セキュリティ対策として、定期的にそれらを更新する必要がある。

オンプレミスと同様、パブリッククラウド上にシステムを構築している場合も、自組織のシステムが情報漏洩や改竄、DoS攻撃等の被害に遭う危険性があるかどうか、適宜把握しておく責任がある。このため、パブリッククラウド上のシステムにおいても、定期的に脆弱性診断を実施するのが望ましい。

パブリッククラウド向け脆弱性診断の必要性

パブリッククラウド向けでない一般的なリモート診断では、ファイアウォール越しで実施するため、ファイアウォールでアクセスを許可しているポートに対してしか診断できない。これに対し、パブリッククラウド向け診断では、直接アクセスできるセグメントに対して実施するため、管理用ポート等、ファイアウォールでアクセス制限されていることの多いポートに対しても診断可能だ。

インシデントのリスクは、外部に公開されたシステムにとどまらないことを忘れてはならない。例えば、AWSを社内インフラとして使用している企業があるとする。そういったシステムは (…続き)


本記事はここまでになります。

この記事の続きでは、テレワークの隙を狙った攻撃の脅威をご紹介し、それに対して企業がどのように脆弱性対策に取り組むべきかということについて解説しています。ぜひご一読ください。

※参考(続き)
contents
3.CISベンチマークを利用したセキュリティチェックの必要性
4.診断を受けるにあたっての注意点

下記より無料でダウンロードいただけます。

まずは無料で資料をダウンロード

年二回発行されるセキュリティトレンドの詳細レポートをダウンロードできるURLをお送りいたします。
見積もりについてのご相談は、お問い合わせよりご連絡ください。

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像