Datadogの調査レポートから見る、DevSecOpsの適用に向けた実態

特定のカテゴリの脆弱性に焦点を当てても、Javaのサービスの23%がRCE(リモートコード実行)に対して脆弱で42%の組織に影響を与えており、Tomcat、Spring Framework、Apache Struts、Log4j、ActiveMQといった一般的なJavaライブラリに影響を及ぼす脆弱性が蔓延していることが数値が高くなっている一因だとしている。

こうした仮説は、これらの脆弱性がどこから発生しているのかを調べることで確実性を高められることから、Javaでは重大な脆弱性の63%が間接的な依存関係から生じているという。これは、アプリケーションとともに間接的にパッケージ化されたサードパーティのライブラリに由来し、出現する追加のライブラリが多くの場合、開発者の知らない間にアプリケーションに導入されているため、通常は特定が困難とのことだ。

萩野氏は「アプリケーションの脆弱性をスキャンする際は、直接的な依存関係だけでなく、依存関係ツリー全体を考慮することが重要。また、アプリケーションに追加した依存関係を適切に管理し、その依存関係が頻繁にアップグレードされているか否かを知ることも必要だ。OpenSSF Scorecardなどのフレームワークは、オープンソースライブラリの健全性を迅速に評価することに役立つ」と話す。
実務担当者は脆弱性の多さに圧倒されている

2つ目は、さまざまな言語で開発されたアプリケーションに対する多くの悪用の試みを分析した結果、自動セキュリティスキャナーからの攻撃が悪用の試みの大半を占めていることが明らかになった。

これらのスキャナーは、オープンソースで一般的なツールであるNuclei、ZGrab、SQLmapなどとなり、攻撃者がインターネット全体をスキャンし、脆弱なシステムを特定するために大規模に実行しようとするという。

自動セキュリティスキャナーによって実行される攻撃の大部分は無害であり、防御側にとっては単なるノイズを生成するだけであることが判明し、これらのスキャナーからの何千万もの悪意のあるリクエストの中で、脆弱性をトリガーしたのは0.0065%に過ぎないという。

そのため、防御者が生のWebサーバログや境界のWebアプリケーションファイアウォール(WAF)のアラートを効果的に監視するために、アラートの優先順位を定めるためのフレームワークが重要であり、脅威インテリジェンスとアプリケーションのランタイムコンテキストをセキュリティ検出に統合することで、企業は最も重要な脅威をフィルタリングしやすくなるとの見解だ。