Datadogの調査レポートから見る、DevSecOpsの適用に向けた実態
マイナビニュース / 2024年6月5日 11時18分
特定のカテゴリの脆弱性に焦点を当てても、Javaのサービスの23%がRCE(リモートコード実行)に対して脆弱で42%の組織に影響を与えており、Tomcat、Spring Framework、Apache Struts、Log4j、ActiveMQといった一般的なJavaライブラリに影響を及ぼす脆弱性が蔓延していることが数値が高くなっている一因だとしている。
こうした仮説は、これらの脆弱性がどこから発生しているのかを調べることで確実性を高められることから、Javaでは重大な脆弱性の63%が間接的な依存関係から生じているという。これは、アプリケーションとともに間接的にパッケージ化されたサードパーティのライブラリに由来し、出現する追加のライブラリが多くの場合、開発者の知らない間にアプリケーションに導入されているため、通常は特定が困難とのことだ。
萩野氏は「アプリケーションの脆弱性をスキャンする際は、直接的な依存関係だけでなく、依存関係ツリー全体を考慮することが重要。また、アプリケーションに追加した依存関係を適切に管理し、その依存関係が頻繁にアップグレードされているか否かを知ることも必要だ。OpenSSF Scorecardなどのフレームワークは、オープンソースライブラリの健全性を迅速に評価することに役立つ」と話す。
実務担当者は脆弱性の多さに圧倒されている
2つ目は、さまざまな言語で開発されたアプリケーションに対する多くの悪用の試みを分析した結果、自動セキュリティスキャナーからの攻撃が悪用の試みの大半を占めていることが明らかになった。
これらのスキャナーは、オープンソースで一般的なツールであるNuclei、ZGrab、SQLmapなどとなり、攻撃者がインターネット全体をスキャンし、脆弱なシステムを特定するために大規模に実行しようとするという。
自動セキュリティスキャナーによって実行される攻撃の大部分は無害であり、防御側にとっては単なるノイズを生成するだけであることが判明し、これらのスキャナーからの何千万もの悪意のあるリクエストの中で、脆弱性をトリガーしたのは0.0065%に過ぎないという。
そのため、防御者が生のWebサーバログや境界のWebアプリケーションファイアウォール(WAF)のアラートを効果的に監視するために、アラートの優先順位を定めるためのフレームワークが重要であり、脅威インテリジェンスとアプリケーションのランタイムコンテキストをセキュリティ検出に統合することで、企業は最も重要な脅威をフィルタリングしやすくなるとの見解だ。
この記事に関連するニュース
-
Datadog、開発環境と本番環境を対象とするデータ、クラウド、アプリケーションの新セキュリティ機能を発表
PR TIMES / 2024年6月28日 11時15分
-
GitLab、開発者のエクスペリエンス向上に向けてGoogle Cloudとの統合拡張を発表
PR TIMES / 2024年6月22日 13時40分
-
Datadog、DevSecOpsチーム向けの新製品App Builderを発表
PR TIMES / 2024年6月21日 16時15分
-
ソフトウェアサプライチェーンの保護に果たすAIの役割とは【前編】
マイナビニュース / 2024年6月17日 11時31分
-
DatadogのDevSecOps の現状2024レポートで、多くの組織がクラウド展開のセキュリティ確保のために自動化を十分に導入していないことが判明
PR TIMES / 2024年6月4日 18時15分
ランキング
-
1KADOKAWA、一部クリエイターの個人情報など漏えい確認と報告 ドワンゴ「流出した情報のダウンロードや拡散控えて」
ねとらぼ / 2024年6月28日 20時43分
-
2KADOKAWA、クリエイターの個人情報漏えいを確認 取引先との契約書なども
ITmedia NEWS / 2024年6月28日 18時45分
-
3「ご乱心wwww」 実写ドラマを見て“キレる”原作者に「信頼できるオタクの反応」「限界オタク」
ねとらぼ / 2024年6月28日 18時30分
-
4複数のWordPressプラグインにバックドア、確認と対策を
マイナビニュース / 2024年6月28日 8時48分
-
5楽天モバイル、ついにプラチナバンド開始 都市部の穴を埋めるのがメイン
ASCII.jp / 2024年6月27日 17時20分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください
![](/pc/img/mission/mission_close_icon.png)