Javaは他のプログラミング言語と比較してどのくらい危険なのか？ Datadog調査：セキュリティニュースアラート

Datadogは「State of DevSecOps 2024」と題された分析レポートを公開した。Javaは他のプログラミング言語と比較してサードパーティーの脆弱性によるリスクが高いことが明らかになっている。

[後藤大地，有限会社オングス]

　Datadogは2024年4月17日（現地時間）に、「State of DevSecOps 2024」と題された分析レポートを公開した。同レポートは、数千のアプリケーションやコンテナイメージ、クラウド環境のセキュリティ評価をまとめたものだ。

Javaは他のプログラミング言語と比較してどのくらいリスクがあるのか？

　同レポートによって、Javaアプリケーションは他のプログラミング言語に比べてサードパーティーの脆弱（ぜいじゃく）性の影響を受けやすいことや自動セキュリティスキャナーによって実行されるサイバー攻撃の大部分は無害であることなどが明らかになった。

　Datadogが発表したレポートの概要は以下の通りだ。

• Javaアプリケーションは、サードパーティーの脆弱性の影響を最も受けている。Javaサービスの90％がサードパーティーのライブラリーによってもたらされた1つ以上の重大または深刻度の高い脆弱性の影響を受けているのに対し、JavaScriptやPython、PHPなどの他のプログラミング言語の平均は47％であることが分かった
• アプリケーションに対する多くのサイバー攻撃で自動セキュリティスキャナーが使われている。しかしこれらの攻撃の大部分は無害で脆弱性の悪用成功率はわずか0.0065％と分析されている
• 特定された脆弱性のうち、優先順位を付ける価値のあるものはほんの一部である
• コンテナイメージが小さいほど脆弱性が少ないことが分析から明らかとなった。平均で100MB未満のイメージには4.4件の高脆弱性またはクリティカルな脆弱性があるが、250MBから500MBのイメージには42.2件、それ以上のイメージには約80件の脆弱性があることが分かった
• IaC（Infrastructure as Code）採用率は高いがクラウドプロバイダーによって異なる。Amazon Web Servicesでは71％以上の組織がIaCを採用しており、「Terraform」「CloudFormation」「Pulumi」といったツールを使用しているが、Google Cloudでは採用率が低い
• 「Amazon Web Services」（AWS）を活用している組織の少なくとも38％が14日以内に本番環境でAWSコンソールを使用してワークロードをデプロイしたり、センシティブなアクションを手動で実施したりしている。これは自動化ではなく、手動でのクリック操作に頼っていることを示している
• 多くの組織が継続的インテグレーション／継続的デリバリー（CI/CD）パイプラインで長期間有効な認証情報に依存し続けている。中でも「GitHub Actions」パイプラインを利用する組織の63％が、少なくとも一度は長期保存型の認証情報を使用している

　Datadogは調査結果を受けて、「セキュリティは可視化からスタートする。アプリケーションのセキュリティ確保は重要なコンテキストと優先順位を付けてはじめて現実的なものとなる」と伝えている。