Dynatraceによると、世界のCISOの4分の3(72%)が過去2年間にアプリケーションセキュリティのインシデントを経験しており、その結果、収益と市場シェアの損失が生じている。
ディープ・オブザーバビリティの専門企業である同社は、最新レポート「2024年のアプリケーションセキュリティの現状」をまとめるため、1300人のCISOと、少数のCEOおよびCFOを対象に調査を実施した。
同レポートは、アプリセキュリティのインシデントが多くの場合、収益の損失(47%)、規制当局による罰金(36%) 、市場シェアの喪失(28%)につながったことを明らかにした。
回答者の多くは、問題の一因をCISOと取締役会の連携不足に求めており、CISOの87%が、アプリケーションセキュリティはCEOおよび取締役会レベルでの盲点になっていると主張した。
アプリケーションセキュリティに関する詳細はこちら:英国、アプリ開発者とストア運営者にセキュリティ要件を課す方針
ここには複数の要因が絡んでいるようだ。調査対象となった経営幹部(C-suite)の70%は、セキュリティチームがビジネス上の文脈を示さずに技術用語で話しすぎると回答した。一方でCISOの75%は、セキュリティツールが、CEOや取締役会がビジネスリスクを理解するために使える洞察を生み出せないと述べた。
CISOはまた、AIがアプリケーションセキュリティを損なううえで果たし得る役割が拡大していることも懸念している。
調査対象者の半数超(52%)は、この技術がサイバー犯罪者を利する可能性――新たなエクスプロイトをより速く作成し、より広い規模で実行できるようにする――を懸念していると答えた。
やや少ない割合(45%)は、AIが開発者に適切な監督なしでソフトウェア提供を加速させ、バグのあるコードが本番環境に入り込む可能性を高めると不満を述べた。
DynatraceのCTOであるBernd Greifeneder氏は、AIは諸刃の剣であり、開発者にとっても、アプリケーションを介して組織を侵害しようとする者にとっても効率向上をもたらしていると認めた。
同氏は「一方では、十分にテストされていないAI生成コードによって開発者が脆弱性を持ち込むリスクが高まり、他方では、サイバー犯罪者がそれを悪用するために、より自動化され洗練された攻撃を開発できる」と付け加えた。
「さらに痛手となるのは、組織がSECの義務付けのような新たな規制にも準拠しなければならない点だ。これは、攻撃の影響を4日以内に特定し報告することを求めている。組織は、現代の高度なサイバー脅威からアプリケーションとデータを守るため、セキュリティツールと実務を早急に近代化する必要がある。」
翻訳元: https://www.infosecurity-magazine.com/news/threequarters-cisos-app-security/
