“戦略的に”脆弱なままアプリをリリースする企業たち 一体なぜ？：Cybersecurity Dive

「アプリに関するセキュリティの取り組みが十分に成熟している」と回答したのは、10人中わずか3人だった。にもかかわらず大半の企業は脆弱性のあるコードだと分かっていながら、時々あるいは頻繁にソフトウェアをリリースしているという。

[Eric Geller，Cybersecurity Dive]

　アプリケーションセキュリティサービスを提供するCheckmarxが2025年8月14日（現地時間、以下同）に発表した報告書によると（注1）、ほとんどの企業が何かしらの脆弱（ぜいじゃく）性の影響で、サイバー犯罪者の侵入を受けていたという。

　Checkmarxの報告書は、米国およびその他8カ国で実施された調査に基づいており、514人の最高情報セキュリティ責任者（CISO）、501人のアプリケーションセキュリティ管理者、504人のソフトウェア開発者からの回答を集めたものである。

“意図的に”脆弱性はあるけどそのままアプリをリリースするという実態

　2023年に侵入を経験したと報告した企業は80％だったが、2024年には90％を超える企業が同様の報告をしており、2025年には割合が98％に達した。

　また、10社中8社の企業は「脆弱性のあるコードだと分かっていながら、時々あるいは頻繁にソフトウェアをリリースしている」と回答した。この割合は、2024年の3分の2から増加している。Checkmarxは「これは単なる見落としではない。戦略なのだ」と指摘している。

　ソーシャルエンジニアリング攻撃を含む多くのサイバー攻撃は人為的なミスを悪用するが、ソフトウェアの脆弱性も依然として標的のネットワークに侵入する有力な手段となっている（注2）。Checkmarxは「こうした事実が広く知られているにもかかわらず、脆弱なコードに起因するセキュリティ侵害は未だに広く発生している」と指摘した。

　Checkmarxは次のように語る。

　「大半の組織はリスクを理解している。しかし、リスクを軽減するために明確な取り組みを進めている組織はごくわずかだ」

　調査対象の組織のうち、年間で4回以上の侵害を経験した組織の割合はCheckmarxによる前回の調査から倍増していた。2024年には16％だったものが、2025年には27％に増加したのだ。

　Checkmarxは、このような増加について「複数のリスクが積み重なっている。侵害がある度に、防御が弱体化したり、新たな脆弱性が発見されたり、組織のソフトウェア開発やセキュリティ運用における構造的な問題が露呈したりしている可能性がある」と述べた。

　3分の1を超える企業（35％）が、今後12〜18カ月の間にソフトウェアサプライチェーンの侵害を受けると予想しており（注3）、これは想定される攻撃経路の中で最も多かった。35％の企業がベンダーからの侵入による侵害を予測し、ほぼ同程度の割合の企業がクラウドサービスの設定ミスによる侵入を予測していた。

　CISOとアプリケーションセキュリティ管理者のうち、自分たちのセキュリティプログラムが高度に成熟していると考えているのはわずか31％だった。47％は「平均以上ではあるが改善の余地がある」と答えた。Checkmarxは、回答者のおよそ20％が自社のプログラムに「重大な欠陥」があると報告していた事実に強い懸念を示した。

　企業はAIによって生成されたコードを積極的に取り入れている。回答者の半数は「AIのセキュリティコードアシスタントを利用している」と答えたが、それらのツールの使用を規定するポリシーを持つ企業は18％にとどまった。さらに、「AIを使ってコードを生成することによるセキュリティの影響を十分に管理できている」と答えた企業はわずか12％だった。

（注1）The Future of Application Security in the Era of AI（Checkmarx）
（注2）Threat groups exploit resurgent vulnerabilities（Cybersecurity Dive）
（注3）CISA warns of supply chain risks as ransomware attacks exploit SimpleHelp flaws（Cybersecurity Dive）