2024年脆弱性セキュリティレポート公開：yamoryが示す新たなリスク管理の重要性

2024年脆弱性セキュリティレポート公開

株式会社アシュアードが運営する脆弱性管理クラウド「yamory」は、2024年の脆弱性セキュリティレポートを公開しました。このレポートでは、脆弱性件数の増加や深刻度の高い脆弱性の割合、そしてソフトウェアサプライチェーンに関連するリスクについて詳細に分析されています。

増加し続ける脆弱性

2024年11月末時点で、米国国立標準技術研究所（NIST）が運営するNational Vulnerability Database（NVD）には33,845件の脆弱性が登録されており、これは前年に比べて17%増の数字です。このうち、48%が「High」または「Critical」に分類され、多くの企業にとって大きな脅威となっています。特に「High」以上の脆弱性に絞り込むと、対応すべき件数は16,345件に達し、これに対処するには膨大なリソースが必要です。

yamoryのオートトリアージ機能

yamoryでは、独自の脆弱性データベースをもとにしたオートトリアージ機能が搭載されています。この機能は、優先度の高い脆弱性を自動で識別し、即日対応が必要な脆弱性を大幅に絞り込みます。具体的には、NVDの「High」と「Critical」脆弱性から、84.4%減の2,554件に集約され、そのうち実際に悪用が報告されている脆弱性はわずか115件であることが分かりました。

しかし、CISA KEVカタログに掲載されていない脆弱性も存在し、これらに対する対策が不可欠です。すべての脆弱性に一つ一つ対応することは現実的ではなく、CISA KEVやPoCなどの情報を組み合わせて、最もリスクの高い脆弱性に優先順位をつけて管理することが重要です。

ソフトウェアサプライチェーンの複雑性

最近のデジタル環境では、ソフトウェアが複雑に絡み合い、一つのソフトウェアが他の多くのソフトウェアに依存する状況が一般的です。このため、脆弱性の検出がより難しくなっています。2024年にyamoryが検知した「Immediate」脆弱性の84%は、間接的に導入されたソフトウェアに由来しています。これに留意せずに脆弱性を管理すると、見落としやすいリスクにさらされる可能性があります。

さらに、これまでのような従来型の脆弱性だけでなく、悪意のあるコードの挿入や依存関係のかく乱、さらには悪質なパッケージによって引き起こされる新たなリスクも増えてきています。CVE IDのない脆弱性が約2倍に増加しており、その多くは悪意のあるパッケージに関するものです。このことから、ソフトウェアサプライチェーンにおけるリスクが増大しており、早急な対策が求められています。

専門家の見解

yamoryのセキュリティエンジニア、芳澤正敏氏は、「悪用される脆弱性の件数は少ないが、そのスピードは増している」と述べています。全ての脆弱性をカバーすることは不可能であり、早期の検知と総合的なリスク判断が必要とされています。特に、間接依存によるリスクや新たな悪質なパッケージによる脅威に対する意識が重要です。今後、規制やレギュレーションの強化が見込まれる2025年には、より高度なセキュリティ対策が求められるでしょう。

解説セミナーの開催

2024年のセキュリティレポートに関する解説ウェビナーが、2025年1月15日に開催されます。このセミナーでは、今年の脆弱性動向やyamoryを活用した効率的な脆弱性管理手法が紹介される予定です。興味のある方はぜひ参加してみてください。

詳細セミナー情報は公式サイトでご確認ください。https://yamory.io/