2022年 脆弱性セキュリティレポート 増加する脆弱性とソフトウェア管理の重要性
2022 年も残りわずかとなり今年の振り返りをする時期になりました。
yamory では脆弱性データベースを構築しているため日々公開される脆弱性情報を収集していますが、今年も多くの脆弱性・攻撃コード (PoC) を目にしました。
今回、yamoryの脆弱性データベースの情報や実際に脆弱性スキャンによって検知された脆弱性情報から今年はどのような傾向があるのか、今後どのような対策が必要になるのかを分析し、脆弱性セキュリティレポートとして公開しました。
本記事では脆弱性セキュリティレポートの内容を一部紹介したいと思います。
脆弱性セキュリティレポートはこちらよりお申し込みください。
脆弱性数の推移
世の中に公開されている脆弱性データベースとして有名なものとして、アメリカ国立標準技術研究所NISTが管理する NVD (National Vulnerability Database) があります。
NVDより2001年から現在まで公開された脆弱性数の推移のグラフが公開されています。
NVD 2011 年から今年までの脆弱性数の推移 (CVSS v2)(NVD - CVSS Severity Distribution Over Timeより引用)
このグラフは、CVSS v2のBase Scoreを使って深刻度 (Severity) 毎に分類したものになります。
2022年はこれまで増加傾向だった脆弱性が減っているように思われますが、実際はCVSS v2のSeverityを利用しているため、今年の脆弱性の数が実際よりも少なく表示されています。
現在、CVSS v3系が利用されており、今年の7月13日よりNVDではCVSS v2の情報を積極的に付与しない方針となったことから、7月13日以降の脆弱性が正しくカウントされていないことが影響しています。
また、2017年に脆弱性数が急増していますが、これはCVEの採番機関CNA (CVE Numbering Authority) になるための認定基準が緩和され、CVE採番機関の数が増加したことが一因だと言われています。
(参考:脆弱性対策情報データベースJVN iPediaの登録状況 2017年第4四半期(10月~12月)| IPA)
NVDの情報のCVSS v3系の深刻度を利用した場合の2017年から今年までの脆弱性数の推移は以下のようになります。
2017年から今年までの脆弱性数の推移 (CVSS v3)
このグラフから2022年もこれまでに引き続き脆弱性数が増加していることがわかります。
また、深刻度別に見てみますとCriticalの脆弱性数が急増していることもわかります。
2021年と2022年で深刻度の高いCriticalとHighの脆弱性数で比較してみると16%ほど増加しています。
深刻度の割合ではCriticalとHighが全体の60%近く占めていることもわかります。
深刻度の高い脆弱性(2021年と2022年の比較)
2022年 脆弱性セキュリティレポート
脆弱性セキュリティレポートでは、上記のNVDの情報をもとに分析した結果だけでなく
- yamoryの脆弱性データベースの情報から言語毎の脆弱性の深刻度の違い
- yamoryの脆弱性スキャンによって検知された脆弱性の統計情報から依存関係の中の脆弱性の割合
- 攻撃コード (PoC) が多く公開された脆弱性
についても紹介しています。
今年の脆弱性の傾向からどのような対策が必要となっているかについても触れています。
ご興味がある方はぜひこちらよりお申し込みください。
