Cloudflareが最新「アプリケーションセキュリティレポート」発表！増加するDDoS攻撃とAPIの脆弱性を暴露

Cloudflare、最新「アプリケーションセキュリティレポート」でサイバー脅威の現状を明らかに！

コネクティビティクラウドを提供するCloudflareは、最新の「アプリケーションセキュリティレポート（2024年版）」を発表しました。本レポートでは、現代社会におけるWebアプリケーションとAPIへの依存度の高まりに伴い、サイバー脅威が深刻化している現状が明らかになっています。

DDoS攻撃は増加の一途をたどり、企業にとって深刻な脅威に

レポートによると、DDoS攻撃は依然としてWebアプリケーションやAPIを標的にする最も一般的な攻撃方法であり、Cloudflareが軽減した全アプリケーショントラフィックの37.1％を占めています。特に、ゲーム・ギャンブル、IT・インターネット、暗号資産、ソフトウェア、マーケティング・広告業界が攻撃の標的となりやすいことが明らかになりました。

ゼロデイ脆弱性の悪用は加速化、攻撃者は常に最新の技術を駆使

Cloudflareは、新たなゼロデイ脆弱性の悪用を迅速に検知していますが、その中には、概念実証（PoC）が公開されてからわずか22分後に攻撃が発生した事例も報告されています。これは、攻撃者が最新の技術を駆使して脆弱性を悪用しようとするスピードが加速していることを示しています。

悪意のあるボットによる脅威も増加、企業のセキュリティ対策は必須

Cloudflare上のトラフィックの約3分の1（31.2％）がボットによるものであり、その多くが未検証で潜在的な悪意を持つボットであることが判明しました。これらのボットが最も標的にした業界は、製造業・消費財、暗号資産、セキュリティ・調査関連、そして米国連邦政府でした。

APIセキュリティ対策の遅れが深刻な問題に

企業や組織は、APIセキュリティ対策として、「ネガティブセキュリティモデル」のWebアプリケーションファイアウォール（WAF）ルールを使用しているケースが多いですが、これは「ほとんどのWebトラフィックは良性である」という仮定に基づいています。しかし、APIセキュリティのベストプラクティスである「ポジティブセキュリティモデル」を採用している企業はわずかです。「ポジティブセキュリティモデル」は、許可するトラフィックを厳格に定義し、それ以外のトラフィックを拒否することで、より高いセキュリティレベルを実現できます。

サードパーティソフトウェアへの依存がセキュリティリスクを増大させる

Webサイトの効率化やパフォーマンス向上のため、企業は平均47.1個のサードパーティプロバイダーからのコードを使用しており、平均49.6個のサードパーティリソースにアウトバウンド接続をしています。しかし、このサードパーティソフトウェアへの依存は、サプライチェーンリスクや責任、コンプライアンスに関する問題を増加させる要因にもなっています。

Cloudflareは、WebアプリケーションとAPIのセキュリティ対策の重要性を訴え、企業や組織への支援を強化

Cloudflareは、本レポートを通じて、企業や組織がWebアプリケーションとAPIのセキュリティ対策を強化することの重要性を訴えています。同社は、セキュリティ対策製品やサービスを提供することで、企業や組織がサイバー脅威から身を守るための支援を強化していく方針です。

Cloudflareの「アプリケーションセキュリティレポート（2024年版）」は、企業や組織がサイバーセキュリティ対策を強化するための重要な指針となるでしょう。