2024.06.12

JFrogの『グローバルソフトウェアサプライチェーン発展レポート2024』によると、ほとんどの「重大」と評価された脆弱性は誤解を招く

Alex Wang

JFrog Japan
日本ビジネス責任者

2024年5月21日 -- グローバルDevOpsリーディングカンパニー、JFrog（ナスダック証券コード：FROG）は、最近『2024年グローバルソフトウェアサプライチェーン発展レポート』の調査結果を発表しました。本レポートは、新たな発展トレンド、業界リスク、企業のソフトウェアサプライチェーンのセキュリティを確保するためのベストプラクティスを明らかにしました。

JFrogのCTO兼共同創設者Yoav Landman氏は、「ソフトウェアセキュリティの分野は変化が激しく、グローバルのDevSecOpsチームは前進を模索しています。AIが急速に普及する時代において、ニーズに応じた革新が求められています。我々のデータは急速に進化するソフトウェアエコシステムをカバーし、セキュリティと開発組織に包括的な概要を提供します。これには、注目すべきCVE評価の誤り、生成的AIによるコーディングがもたらすセキュリティへの影響、開発に使用される高リスクなソフトウェアパッケージに関する洞察などの情報が含まれており、関係者がより賢明な判断を下せるようにしています」と述べました。

研究結果のハイライト

JFrogの『2024年グローバルソフトウェアサプライチェーン発展レポート』は、7000社以上の企業のJFrog Artifactory開発者データ、JFrogセキュリティ研究チームによる独自のCVE分析、および第三者機関による世界中の1200名の技術専門家への調査データを組み合わせ、急速に進化するソフトウェアサプライチェーン分野に情報を提供することを目的としています。主な研究結果は以下の通りです：

全てのCVEが表面的な評価通りではない

従来のCVSS評価は脆弱性の利用の深刻さにのみ焦点を当て、その利用可能性を考慮していません。これは特定の状況に応じて評価されるべきです。JFrogセキュリティ研究チームが2023年に発見された212の高知名度CVEを分析した結果、平均して85%の「重大事故レベル」CVEと73%の「危険レベル」CVEの重要度評価を下げました。さらに、JFrogは報告された上位100のDocker Hubコミュニティイメージのうち、74%のCVSS評価が「危険レベル」および「重大事故レベル」とされる一般的なCVEが実際には利用される可能性がないことを発見しました。

DoS攻撃の蔓延

JFrogセキュリティ研究チームが分析した212の高知名度CVEのうち、44%はDoS攻撃の潜在的な脅威があり、17%はリモートコード実行（RCE）の潜在的な脅威があることが判明しました。これはセキュリティ組織にとって良いニュースであり、RCEはバックエンドシステムへの完全なアクセスを提供するため、DoS攻撃と比べてその危険性が高いからです。

セキュリティ問題が生産性に影響を与える

40%の回答者が、新しいソフトウェアパッケージ/ライブラリの使用承認を得るのに通常1週間以上かかり、新しいアプリケーションやソフトウェアアップデートの市場投入時間が延びていると述べています。また、セキュリティチームは脆弱性修正に約25%の時間を費やしており、これらの脆弱性のリスクが現状で過大評価されているか、または実際には利用不可能である場合があります。

ソフトウェア開発ライフサイクル（SDLC）におけるセキュリティチェックの方法の違い

ソフトウェア開発ライフサイクルのどの段階でアプリケーションセキュリティテストを実施するかを決定する際に、業界内で明確な意見の相違があり、左シフトと右シフトの両方が重要であることが浮き彫りになりました。42%の開発者が、コード作成中にセキュリティスキャンを実行するのが最善と考えている一方で、41%は、OSSライブラリから企業に新しいソフトウェアパッケージを導入する前にスキャンを実行するのが最善だと考えています。

セキュリティツールの過剰使用が続いている

約半数のIT専門家（47%）が4〜9種類のアプリケーションセキュリティソリューションを導入していると報告しています。しかし、調査対象の技術専門家およびセキュリティ専門家の約3分の1（33%）は、10種類以上のアプリケーションセキュリティソリューションを使用していると述べています。この現象は、セキュリティツールの統合ニーズの傾向を反映しており、人々が単一のポイントツーポイントソリューションを放棄し、より包括的なセキュリティツールの統合を求めるようになっていることを示しています。

AI/MLツールのセキュリティ分野での不均衡な使用

90%の回答者が、セキュリティスキャンおよび修正作業を支援するためにAI/ML駆動のツールを何らかの形で使用していると述べていますが、プロフェッショナルの3分の1（32%）のみが、コード作成にAI/MLツールを使用していると述べています。これは、業界の大多数がAI生成コードが企業のソフトウェアに潜在的なセキュリティリスクをもたらす可能性に対して慎重な態度を持っていることを反映しています。

JFrogセキュリティ研究シニアディレクターのShachar Menashe氏は、「毎年セキュリティ脆弱性の数は増加していますが、その深刻さも同時に増しているわけではありません。ITチームがセキュリティ向上のために新しいツールに投資する意欲を示していますが、これらのツールの展開方法、チームの時間を効果的に活用する方法、およびプロセスの簡素化について理解することが、SDLCのセキュリティを確保するために不可欠です。私たちがこのレポートを作成した目的は、トレンドを分析するだけでなく、AIのナビゲーション、マルウェア、またはセキュリティソリューションに関する決定を下す際に、技術ビジネスリーダーに明確なガイドラインと専門的な技術アドバイスを提供することです」と述べています。

日本国内多くの企業はNVD、あるいはJVNなどの一般公開情報サイトでOSSや3rdパーティの脆弱性を検索し、全社通達を通じて、開発部門に自己申告してもらうというやり方でセキュリティのガバナンスを推進しています。その結果、脆弱性情報に対する信憑性が低く、リアルタイムの検知もできず、開発部隊との実態乖離がどんどん発生しています。その結果、セキュリティガバナンスの推進が難航しているケースが多いです。

これらの問題を解決するために、ぜひ本レポートをご参考にしてみてください。

次のリンク先からダウンロードができます。https://jfrog.com/ja/software-supply-chain-state-of-union/