調査によると、2013年、ウェブアプリケーションベンダーは、脆弱性を発見してから重要なセキュリティアップデートをリリースするまでに平均2週間近くかかっています。
スイスの情報セキュリティ企業High-Tech Bridgeの最新レポート「Web Application Security Trends」によると、この時間は前年に比べて35%短縮されました。
重要なセキュリティ脆弱性のパッチ適用までの平均期間は、2012年には17日でしたが、2013年には11日に短縮されました。また、すべてのリスクに対する平均対応期間は18日で、33パーセントの改善が見られました。
High-Tech Bridgeのレポートでは、脆弱性の通知後、ベンダーが対応し、セキュリティパッチをリリースするまでの時間を紹介しています。
ほとんどのベンダーは、特定された脆弱性について公正かつ迅速にユーザーに警告を発していますが、すべてではありません。
High-Tech Bridge の CEO である Ilia Kolochenko 氏は、「重要な脆弱性のパッチ適用に 11 日もかかるのは、まだ長すぎます。しかし、ありがたいことに、深刻な脆弱性の検出と悪用がますます複雑になっているにもかかわらず、BigTree CMSのように複雑な脆弱性に3時間以内に対応できるベンダーがあります。"
セキュリティ意識の段階的向上
この最新レポートは、アプリケーション・セキュリティの重要性に対する一般的な認識がベンダーの間で高まっていることを示しています。
過去には、有名ベンダーがセキュリティ関連パッチのリリースを遅らせたことがありました。しかし2013年には、セキュリティ機能を優先させるという「危険なアプローチ」をとった大手ベンダーはありませんでした。
High-Tech Bridgeのレポートによると、2013年にベンダーが発行した62件のセキュリティ情報のうち、未パッチのものはわずか3件でした。
報告書によると、コーディングプラクティスが改善されたことで、成熟したアプリケーションに深刻な脆弱性を見つけることが難しくなった一方で、基本的なミスが妨害行為につながった例もあります。例えば、インストールスクリプトの削除を怠ると、サイバー犯罪者はアプリケーション全体を侵害することができます。
コロチェンコ氏は、「これは、独立したセキュリティテストとウェブアプリケーション監査の重要性を浮き彫りにしています。
以前は「高リスク」または「重大なリスク」と評価されていたこれらの脆弱性の多くは、攻撃者が脆弱性を悪用するためには認証またはログインが必要であるとして、2013年の速報では「中リスク」に格下げされました。
コロチェンコ氏は、「これは、ウェブ開発者も、アプリケーションのセキュリティ部分が『信頼できる』チームへのアクセスを許可するだけで、実際には悪意のある可能性があることを認識する必要があることを裏付けるものです。
内部アプリケーション、XSS、SQLiが最も攻撃を受けやすい
High-Tech bridgeは、ウェブアプリケーションセキュリティテストソフトウェアと侵入テストを組み合わせた統計的調査により、内部アプリケーションが攻撃に対して最も脆弱であることを発見しました。
最も脆弱なアプリケーションの40%は内部アプリケーションで、次いでコンテンツ管理システムのプラグインとモジュールが30%、小規模なコンテンツ管理システムが25%、大規模なコンテンツ管理システムが5%となっています。
High-Tech BridgeのチーフリサーチオフィサーであるMarsel Nizamutdinov氏によると、中規模および大規模のコンテンツ管理システムの90%は、XSSやSQLに対して脆弱であるといいます。
しかし、ソフトウェア・ベンダーとの努力と協力により、何万もの人気ウェブサイトが危険にさらされなくなったため、この研究は業界に好影響を与える上でも大きな進歩を遂げました。
