脆弱性管理クラウド「yamory」、2022年脆弱性セキュリティレポートを公開

~即時対応が必要な脆弱性は昨年から1.5倍に、そのうち約8割が間接依存~

Visionalグループが運営する脆弱性管理クラウド「yamory(ヤモリー)」(https://yamory.io/ 以下、yamory)は、独自の脆弱性情報データベースをもとに、2022年の脆弱性セキュリティレポートを作成しました。
脆弱性は年々増加傾向にあり、yamoryの脆弱性データベースにおいても、即時対応が求められる深刻度の高い脆弱性は、昨年から約1.5倍に増加しています。また、ソフトウェアの依存関係が複雑化するなか、間接依存ライブラリにおける脆弱性割合が約8割を占め、ソフトウェア構成管理の重要性が高まっていることが明らかです。

画像1

即時対応が必要な脆弱性は昨年から約1.5倍に増加

NVD(米国国立標準技術研究所(NIST)運営の脆弱性データベース)で公開されている脆弱性の数は、年々増加傾向にあります。また、2022年に確認された脆弱性の内訳は、深刻度が高いことを示す「High」「Critical」が全体の約6割を占めています。(※1)
しかし、これらの脆弱性の全てに対処するには、膨大な工数がかかります。そこでyamoryでは、独自で構築した脆弱性のデータベースを使い、危険度のレベルを算出し、対応の優先度を自動で判断するオートトリアージ機能(特許番号:6678798)により、優先的に対応すべき脆弱性のみを抽出しています。その結果、yamory上で、即時対応が必要とされる「Immediate」に分類された脆弱性は昨年比1.5倍に増加しており、脆弱性の総数だけでなく、攻撃コード(PoC)が流通するなどリスクの高い脆弱性も増加傾向にあることがわかります。
さらに、ゼロデイ脆弱性や、Nデイ脆弱性と言われる緊急性の高い脆弱性は、脆弱性情報の公開直後から攻撃が観測されるケースが増えています。これらの攻撃リスクから自社のITシステムを守るためには、迅速な対応が求められ、定期的な脆弱性診断のみならず、日々の脆弱性管理をしっかりと行っていくことが重要です。yamoryでは、緊急脆弱性の速報通知を受け取ることができるため、緊急性の高いサイバー攻撃に対して、より迅速に対策を進めることでセキュリティリスクの軽減が可能となります。

※1 出典:NVD(National Vulnerability Database) https://nvd.nist.gov/
画像2

画像3

間接依存の脆弱性とソフトウェア構成管理の重要性

開発スピードの向上や効率化のため、オープンソースを利用する開発が主流になっており、ソフトウェアの依存関係とシステムレイヤーの複雑化が進んでいます。昨年末にLog4jの脆弱性(Log4Shell)が発見され、大きな話題になりましたが、Log4jでは間接依存の割合が83%にのぼっています(※2)。
2022年においても、yamoryのオートトリアージ機能で即時対応が必要な「Immediate」に分類された脆弱性のうち、間接依存が約8割を占めています。米国では大統領令が発令されるなど、昨今話題になっているSBOM(ソフトウェア部品表)によるソフトウェア構成管理の重要性が増しており、日本でも今後普及が加速することが見込まれます。
yamoryでは、間接依存のソフトウェアを含めてSBOM出力が可能で、ソフトウェアの資産管理・脆弱性管理を実現することができます。

※2 参照:Google Security Blog
https://security.googleblog.com/2021/12/understanding-impact-of-apache-log4j.html
画像4

今年公開された攻撃コード(PoC)の多い脆弱性Top5

画像5

今年PoCが多く公開された脆弱性には、共通点として「広く使われているライブラリの脆弱性」「任意のコード実行が可能な脆弱性」の2点が挙げられます。また、PoCの多い脆弱性も、間接依存の脆弱性割合が85%以上を占めています。これらのデータから、自社が利用しているソフトウェアに関しては、SBOMを積極活用するなど、直接利用しているものだけでなく、間接的に利用しているものも含めたソフトウェアの資産管理が重要であることが明らかになりました。

yamory事業部長 山路 昇 コメント

2022年は、例年以上に脆弱性の数が増加し、即時対応が必要な脆弱性は昨年比1.5倍と、日々の脆弱性管理が必要不可欠になっています。深刻度だけで脆弱性の優先順位を付けても、増え続ける脆弱性の対応には、膨大な工数がかかります。
yamoryのオートトリアージ機能により、対応すべき脆弱性の数を半分以下に抑えることができ、効率的な脆弱性対策が可能になります。
また、昨年末のLog4Shellで明らかになったように、直接依存だけではなく間接依存の脆弱性への対応も必要です。2023年は、網羅的な脆弱性管理はもちろん、SBOMを用いたソフトウェア管理がますます重要になると考えられます。
yamoryは、独自の脆弱性データベースでITシステム全レイヤーの脆弱性を検知し、管理・対策ができるサービスで、今回のレポートで明らかになったリスクに対しても網羅的かつ効率的に対処が可能です。今後も、安心してテクノロジーを活用できる未来を実現するべく、サービス向上に努めてまいります。

<レポート概要>
以下の情報をもとに作成
(対象期間:2022年1月1日~12月6日)
‐ National Vulnerability Database(NVD)
‐ yamory 脆弱性データベース(アプリライブラリ)
‐ yamory の脆弱性スキャンによって検知された脆弱性の統計情報

<脆弱性レポートPDF>
レポートは下記よりダウンロードいただけます。
https://share.hsforms.com/1DsXSMzhoTJuPcwroirjohA40g6e

【脆弱性管理クラウド「yamory(ヤモリー)」について】
「yamory」は、ITシステムの脆弱性を自動で検知し、管理・対策ができるクラウドサービスです。ソフトウェアの脆弱性管理に加え、セキュリティ診断やクラウド設定管理(CSPM)を提供することで、ITシステムに必要な脆弱性対策をオールインワンで実現します。複雑化するITシステムの網羅的な脆弱性対策を効率化し、安心してテクノロジーを活用できる世界を目指し、社会のDX加速を支えます。
URL:https://yamory.io/
Twitter:https://twitter.com/yamory_sec
運営会社:株式会社アシュアード

【Visionalについて】
「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション(DX)を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人材活用・人材戦略(HCM)エコシステムの構築を目指す。また、M&A、物流Tech、サイバーセキュリティ、Sales Techの領域においても、新規事業を次々に立ち上げている。
URL:https://www.visional.inc/

リリース詳細
提供元: PR TIMES