新たな調査報告書によると、ほぼすべてのCISOが、特にビジネス上の締め切りが迫る場面で、コンプライアンスに関わるサイバーセキュリティ上の問題を隠蔽または先送りするよう圧力をかけられた経験があることが明らかになりました。
この調査はCheckmarxが6月8日に公開したもので、CISOの95%が、社内の他部門からセキュリティ問題の報告を後回しにするよう圧力を受けたと回答しています。
こうした圧力を受けた結果、回答者の75%が、自社が脆弱性を認識しながらも本番環境に脆弱なコードを展開したと答えています。
その理由を尋ねたところ、30%が「補完的なセキュリティ制御でリスクを十分に低減できると判断したため」、27%が「ビジネス上・機能上・セキュリティ上の期限に間に合わせるために展開した」と回答しました。また別の27%は「展開後に初めて脆弱性が発覚した」と述べています。
調査結果からは、多くの回答者がコード展開にリスクはつきものと考えている実態も浮かび上がりました。30%が「脆弱性が発見されないことを期待していた」と答え、27%が「修正に手間や時間がかかりすぎると判断した」と回答しています。
こうした状況が続く中、企業各社はAIが生成したコードの活用を積極的に推進しています。AIの活用は開発効率の向上をもたらす一方で、ミスや脆弱性の混入リスクも伴います。AIのみに頼ったアプローチでは、サイバー脅威に対して脆弱な状態を招きかねません。
CheckmarxのCEOであるSandeep Johri氏は次のように述べています。「この報告書は、組織が直面しているセキュリティ危機と、それに対処するために取られている小手先の対策との間に、大きな断絶があることを示しています。まったく新しいモデルが必要です」
同氏はさらにこう続けました。「テストを受ける生徒が自分で採点できないように、AIだけではコードを安全に保つことはできません。しかも調査が示すとおり、AIはリスクを増大させます。組織には、決定論的な精度と確率的な推論を組み合わせて新たな悪用可能なパターンを検出し、脆弱性の発見から修正までの時間を縮める、より優れた人間主導の修復が求められています」
関連記事: MythosやGPT-CyberなどのフロンティアAIモデルが現代のサイバーセキュリティに意味すること
調査では、脆弱性の修正と対処に関する課題も明らかになっています。脆弱性の90%以上を90日以内に修正していると回答した組織はわずか9%にとどまり、約3分の1は同期間内に修正できる脆弱性が半数未満という状況です。
これにより、組織はサイバー脅威にさらされ続けており、新たな脆弱性がかつてないスピードで発見されているMythos以降の時代において、その深刻さは増しています。
報告書は次のように警告しています。「既知の脆弱性がパッチ未適用のまま放置される日々は、ドアが施錠されていない日々と同じです。脆弱性が悪用されるまでの平均時間は、今や数分にまで短縮されています。にもかかわらず、多くの組織は何か月もの間、門扉を大きく開け放したままにしているのです」
しかしながら報告書は、AI時代のセキュリティニーズに応えられるよう、自社のセキュリティプロセスを向上させることができると楽観的に見ている組織が多いという点も結論として述べています。
具体的な取り組みとしては、特にAIに関するガバナンスの強化や、ツール・チーム・プロセス間の断片化の解消などが挙げられています。
本報告書は、14か国の組織に所属するCISO、AppSecマネージャー、開発者の計2,350名の回答をもとに作成されました。
翻訳元: https://www.infosecurity-magazine.com/news/firms-deploy-vulnerable-code/
