株式会社カスペルスキーは3月21日、企業や団体が社内で開発するWebアプリケーションの脆弱性についての調査結果を発表した。
Kaspersky のセキュリティアセスメント部門では、2021年から2023年に実施したWebアプリケーションのセキュリティアセスメントのプロジェクトを対象に、企業や団体が社内で開発するWebアプリケーションの脆弱性について調査を行った。対象となった企業や団体には、政府機関、IT、保険、電気通信、暗号資産(仮想通貨)、eコマース、ヘルスケアなどが含まれている。
調査結果によると、最も割合が多かったのは「アクセス制御の不備」と「機微な情報の露出」の70%で、「サーバサイドリクエストフォージェリ(SSRF)」が57%、「SQLインジェクション」が43%で続いた。
Kaspersky のセキュリティアセスメント部門のエキスパートが脆弱性のリスクレベルにも注目し、分析したところ、高いリスクをもたらす脆弱性の割合が最も多かったのは「SQLインジェクション」に関するもので88%となった。
同社では、Webアプリケーションのセキュリティレベルを高め、攻撃を迅速に検知する方法として、下記を推奨している。
・セキュアなソフトウェア開発ライフサイクル(SSDLC)を採用する
・アプリケーションのセキュリティ評価を定期的に実施する
・ロギングとモニタリングの仕組みを使ってアプリケーションの運用状況を追跡する
