開発者は侵害リスクの高まりにもかかわらず、脆弱なコードを意図的にリリースしている

ダイブ・ブリーフ:

• アプリケーションセキュリティ企業のCheckmarxが木曜日に発表したレポートによると、ほぼすべての企業が脆弱なコードによる何らかの侵入を経験しています。
• 2023年には約8割の企業がこのような侵害を経験したと報告していますが、その数値は昨年90％以上に上昇し、今年は98％に達しました。
• 同時に、8割の企業が、脆弱であると分かっているコードを時々または頻繁にリリースしていると回答しており、2024年の3分の2から増加しています。「これは見落としではありません」とCheckmarxは述べています。「これは戦略です。」

ダイブ・インサイト:

多くのサイバー攻撃はソーシャルエンジニアリングを含む人的ミスを悪用しますが、ソフトウェアの脆弱性も依然としてターゲットネットワークに侵入する強力な手段です。しかし、この事実が広く認識されているにもかかわらず、「脆弱なコードによるセキュリティ侵害は依然として広く発生している」とCheckmarxは述べています。

「ほとんどの組織はリスクを認識しています」と同社は指摘し、「しかし、それを減らすために決定的な行動を取っている組織はあまりにも少ないのです。」

Checkmarxの昨年の年次調査以降、年間4回以上の侵害を経験した組織の割合はほぼ2倍となり、2024年の16％から今年は27％に達しました。

Checkmarxは、この増加について「各侵害が防御を弱め、追加の脆弱性を露呈させ、または組織のソフトウェア開発やセキュリティ慣行により深刻なシステム上の問題があることを示している、複合的なリスク効果を示唆している」と述べています。

Checkmarxのレポートは、米国および他8カ国の514人の最高情報セキュリティ責任者（CISO）、501人のアプリケーションセキュリティマネージャー、504人のソフトウェア開発者への調査に基づいています。

3分の1以上の企業（35％）が、今後12～18か月以内にソフトウェアサプライチェーンの侵害を経験すると予想しており、これは予想される攻撃ベクトルの中で最も多い結果となりました。同じ割合の企業がベンダー侵入による侵害を予測し、またほぼ同数の回答者がクラウドサービスの設定ミスによる侵入を予測しています。

CISOおよびアプリケーションセキュリティマネージャーのうち、自社のセキュリティプログラムが高度に成熟していると考えているのは31％のみでした。さらに47％は、平均以上だが改善の余地があると回答しています。Checkmarxは、回答者の約20％が自社のプログラムに「重大なギャップ」があると報告していることに警鐘を鳴らしています。

企業はAI生成コードの導入にも積極的です。回答者の半数がAIセキュリティコードアシスタントを利用していると答えていますが、これらのツールの利用を規定するポリシーがある企業は18％にとどまります。さらに、AIを使ってコードを生成する際のセキュリティ上の影響を十分に管理できていると答えた企業はわずか12％でした。