ニュース
Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査:セキュリティニュースアラート
Datadogは「State of DevSecOps 2024」と題された分析レポートを公開した。Javaは他のプログラミング言語と比較してサードパーティーの脆弱性によるリスクが高いことが明らかになっている。
Datadogは2024年4月17日(現地時間)に、「State of DevSecOps 2024」と題された分析レポートを公開した。同レポートは、数千のアプリケーションやコンテナイメージ、クラウド環境のセキュリティ評価をまとめたものだ。
Javaは他のプログラミング言語と比較してどのくらいリスクがあるのか?
同レポートによって、Javaアプリケーションは他のプログラミング言語に比べてサードパーティーの脆弱(ぜいじゃく)性の影響を受けやすいことや自動セキュリティスキャナーによって実行されるサイバー攻撃の大部分は無害であることなどが明らかになった。
Datadogが発表したレポートの概要は以下の通りだ。
- Javaアプリケーションは、サードパーティーの脆弱性の影響を最も受けている。Javaサービスの90%がサードパーティーのライブラリーによってもたらされた1つ以上の重大または深刻度の高い脆弱性の影響を受けているのに対し、JavaScriptやPython、PHPなどの他のプログラミング言語の平均は47%であることが分かった
- アプリケーションに対する多くのサイバー攻撃で自動セキュリティスキャナーが使われている。しかしこれらの攻撃の大部分は無害で脆弱性の悪用成功率はわずか0.0065%と分析されている
- 特定された脆弱性のうち、優先順位を付ける価値のあるものはほんの一部である
- コンテナイメージが小さいほど脆弱性が少ないことが分析から明らかとなった。平均で100MB未満のイメージには4.4件の高脆弱性またはクリティカルな脆弱性があるが、250MBから500MBのイメージには42.2件、それ以上のイメージには約80件の脆弱性があることが分かった
- IaC(Infrastructure as Code)採用率は高いがクラウドプロバイダーによって異なる。Amazon Web Servicesでは71%以上の組織がIaCを採用しており、「Terraform」「CloudFormation」「Pulumi」といったツールを使用しているが、Google Cloudでは採用率が低い
- 「Amazon Web Services」(AWS)を活用している組織の少なくとも38%が14日以内に本番環境でAWSコンソールを使用してワークロードをデプロイしたり、センシティブなアクションを手動で実施したりしている。これは自動化ではなく、手動でのクリック操作に頼っていることを示している
- 多くの組織が継続的インテグレーション/継続的デリバリー(CI/CD)パイプラインで長期間有効な認証情報に依存し続けている。中でも「GitHub Actions」パイプラインを利用する組織の63%が、少なくとも一度は長期保存型の認証情報を使用している
Datadogは調査結果を受けて、「セキュリティは可視化からスタートする。アプリケーションのセキュリティ確保は重要なコンテキストと優先順位を付けてはじめて現実的なものとなる」と伝えている。
関連記事
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
Cisco TalosはVPNやSSHサービスを標的とした大規模な総当り攻撃(ブルートフォース攻撃)が増加していると報告した。攻撃は匿名化ネットワークから発信され、複数のVPNサービスが攻撃の対象となっている。 - HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
2024年3月に発生した日本の光学機器・ガラスメーカーHOYAのセキュリティインシデントについて、仏メディアがサイバー犯罪グループ「Hunters International」の関与を指摘した。同グループはHOYAに1000万ドルを要求しているという。 - 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
大田区役所は2023年10月に同区のシステムで発生した障害について、その原因と運用保守を委託していたNECとの和解のてん末を明らかにした。同障害は区民サービスに多大な影響を及ぼした。 - ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
バックアップはデータ保護における古典的なテーマですが、適切に実施するのは実は簡単ではありません。従来のバックアップ対策ではなぜランサムウェアには通用しないのか。その理由を解説します。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.