内製開発のアプリの脆弱性調査「アクセス制御の不備」が最多
Kaspersky エキスパートによるWebアプリケーションの脆弱性トップ10 画像(1枚)
 株式会社カスペルスキーは3月21日、企業や団体が社内で開発するWebアプリケーションの脆弱性についての調査結果を発表した。

 Kaspersky のセキュリティアセスメント部門では、2021年から2023年に実施したWebアプリケーションのセキュリティアセスメントのプロジェクトを対象に、企業や団体が社内で開発するWebアプリケーションの脆弱性について調査を行った。
対象となった企業や団体には、政府機関、IT、保険、電気通信、暗号資産(仮想通貨)、eコマース、ヘルスケアなどが含まれている。

 調査結果によると、最も割合が多かったのは「アクセス制御の不備」と「機微な情報の露出」の70%で、「サーバサイドリクエストフォージェリ(SSRF)」が57%、「SQLインジェクション」が43%で続いた。

 Kaspersky のセキュリティアセスメント部門のエキスパートが脆弱性のリスクレベルにも注目し、分析したところ、高いリスクをもたらす脆弱性の割合が最も多かったのは「SQLインジェクション」に関するもので88%となった。

 同社では、Webアプリケーションのセキュリティレベルを高め、攻撃を迅速に検知する方法として、下記を推奨している。

・セキュアなソフトウェア開発ライフサイクル(SSDLC)を採用する
・アプリケーションのセキュリティ評価を定期的に実施する
・ロギングとモニタリングの仕組みを使ってアプリケーションの運用状況を追跡する

元の記事を読む

編集部おすすめ