10年以上にわたり、アプリケーションセキュリティチームは厳しい皮肉に直面してきました。検出ツールが高度になるほど、その結果が役に立たなくなるというものです。静的解析ツール、スキャナー、CVEデータベースからのアラートが急増する中、より良いセキュリティの約束は遠のきました。その代わりに、新しい現実が生まれました。それはアラート疲れと圧倒されたチームによって定義されるものです。
OX Securityの2025年アプリケーションセキュリティベンチマークレポートによると、驚くべきことに95〜98%のAppSecアラートはアクションを必要としない – 事実上、組織に害を及ぼす可能性があるとされています。
私たちの研究は、178の組織にわたる1億1000万以上のセキュリティ発見を対象にしており、現代のAppSec運用における基本的な非効率性にスポットライトを当てています。組織ごとの平均約57万件のアラートのうち、真に重要な問題はわずか202件でした。
無視できない驚くべき結論です。セキュリティチームは影を追いかけ、時間を浪費し、予算を消費し、実際には脅威をもたらさない脆弱性に関して開発者との関係を悪化させています。最悪なのは、セキュリティが実際のイノベーションの妨げになることです。クリス・ヒューズがResilient Cyberで述べているように、「私たちはビジネスの推進者を装いながら、仲間を労苦に埋もれさせ、開発速度を遅らせ、最終的にビジネスの成果を妨げています。」
ここに至るまで: 問題の山、コンテキストの欠如#
2015年当時、アプリケーションセキュリティの課題はより単純でした。その年には、わずか6,494のCVEが公表されました。検出が王道でした。ツールはどれだけ多くの問題を見つけたかで評価されており、それが重要かどうかは問われませんでした。
2025年に進むと、アプリケーションはクラウドネイティブ化し、開発サイクルは加速し、攻撃面は膨張しました。過去1年だけで4万以上の新しいCVEが発表され、世界全体で20万を超えました。しかし、これらの大きな変化にもかかわらず、多くのAppSecツールは進化に失敗しました。彼らは検出に固執し、フィルタリングされていないコンテキストのないアラートでダッシュボードを溢れさせています。
OXのベンチマークは、実務者が長らく疑っていたことを確認しています:
- 32%の報告された問題は、悪用される可能性が低い
- 25%は既知の公開されたエクスプロイトがない
- 25%は未使用または開発専用の依存関係に起因する
この無関係な発見の洪水は、セキュリティを遅らせるだけでなく、積極的に妨害します。
ほとんどのアラートは無視できますが、即時の注意が必要な2〜5%を正確に特定することが重要です。レポートは、これらの稀なアラートが通常、KEVの問題、秘密管理の問題、場合によっては姿勢管理の問題を含むことを示しています。
包括的な優先順位付けアプローチの必要性#
この悪循環を打破するために、組織は証拠に基づく優先順位付けに基づいた、より洗練されたアプリケーションセキュリティアプローチを採用する必要があります。これは、一般的なアラート処理から、設計段階から実行時までのコードをカバーする包括的なモデルへのシフトを必要とします。これには複数の要素が含まれます:
- 到達可能性: 脆弱なコードは使用されており、到達可能か?
- 悪用可能性: この環境で悪用の条件が存在するか?
- ビジネスへの影響: ここでの侵害が実際の損害を引き起こすか?
- クラウドからコードへのマッピング: この問題はSDLCのどこで発生したか?
このようなフレームワークを実装することで、組織はノイズを効果的にフィルタリングし、実際に脅威をもたらす小さな割合のアラートに集中することができます。これにより、セキュリティの効果が向上し、貴重なリソースが解放され、より自信を持った開発が可能になります。
OX Securityは、クラウドと実行時要素をコードの起源にマッピングし、コンテキストの理解と動的リスク優先順位付けを可能にする証拠に基づくセキュリティ技術であるCode Projectionでこの課題に取り組んでいます。
実世界への影響#
データは強力な物語を語っています。証拠に基づく優先順位付けを使用することで、組織あたりの569,354件の総アラートの驚くべき平均が11,836件に減少し、そのうち202件だけが即時のアクションを必要とします。
業界ベンチマークは、いくつかの重要な洞察を明らかにしています:
- 一貫したノイズしきい値: 基本的なノイズレベルは、業界に関係なく、エンタープライズまたは商業環境にかかわらず、驚くほど似ています。
- エンタープライズセキュリティの複雑さ: エンタープライズ環境は、より広範なツールエコシステム、より大きなアプリケーションフットプリント、より多くのセキュリティイベント、より頻繁なインシデント、および全体的なリスク露出の増加により、著しく大きな課題に直面しています。
- 金融セクターの脆弱性: 金融機関は、特に高いアラートボリュームを経験します。彼らの金融取引と機密データの処理は、彼らを高価値のターゲットにします。Verizon Data Breach Investigations Reportによれば、攻撃者の95%はスパイ活動や他の理由ではなく、主に金銭的利益を動機としています。金融機関の金銭資産への近さは、攻撃者に直接的な利益の機会を提供します。
これらの発見は広範な影響を持っています。組織にとって重要なアプリケーションセキュリティ修正が95%未満である場合、すべての組織はトリアージ、プログラミング、サイバーセキュリティの時間に膨大なリソースを無駄に投資しています。この無駄は、ホワイトハッカーが修正するべき脆弱性を見つけるバグバウンティプログラムへの支払い、早期に発見されずに生産に到達した脆弱性の複雑な修正のコストにも及びます。最終的な重要なコストは、開発チームとセキュリティチームの間で、関連性のない脆弱性の修正を要求することによって生じる緊張です。
検出は失敗し、優先順位付けが進むべき道#
組織が2025年だけで50,000件の新しい脆弱性に直面する中、効果的なセキュリティトリアージの重要性はこれまでになく高まっています。「すべてを検出し、後で修正する」という古いモデルは、単に時代遅れであるだけでなく、危険です。
OX Securityのレポートは、説得力のあるケースを提示しています。アプリケーションセキュリティの未来は、すべての可能な脆弱性に対処するのではなく、実際のリスクをもたらす問題を知的に特定し、集中することにあります。