2022 年も残りわずかとなり今年の振り返りをする時期になりました。

yamory では脆弱性データベースを構築しているため日々公開される脆弱性情報を収集していますが、今年も多くの脆弱性・攻撃コード（PoC）を目にしました。

今回、yamory の脆弱性データベースの情報や実際に脆弱性スキャンによって検知された脆弱性情報から今年はどのような傾向があるのか、今後どのような対策が必要になるのかを分析し、脆弱性セキュリティレポートとして公開しました。

本記事では脆弱性セキュリティレポートの内容を一部紹介したいと思います。

脆弱性セキュリティレポートはこちらよりお申し込みください。

脆弱性数の推移

世の中に公開されている脆弱性データベースとして有名なものとして、アメリカ国立標準技術研究所 NIST が管理する NVD（National Vulnerability Database）があります。

NVD より 2001 年から現在まで公開された脆弱性数の推移のグラフが公開されています。

このグラフは、CVSS v2 の Base Score を使って深刻度（Severity）毎に分類したものになります。

2022 年はこれまで増加傾向だった脆弱性が減っているように思われますが、実際は CVSS v2 の Severity を利用しているため、今年の脆弱性の数が実際よりも少なく表示されています。

現在、CVSS v3 系が利用されており、今年の 7 月 13 日より NVD では CVSS v2 の情報を積極的に付与しない方針となったことから、7 月 13 日以降の脆弱性が正しくカウントされていないことが影響しています。

Retirement of CVSS v2 | NVD

また、2017 年に脆弱性数が急増していますが、これは CVE の採番機関 CNA（CVE Numbering Authority）になるための認定基準が緩和され、CVE 採番機関の数が増加したことが一因だと言われています。

（参考：脆弱性対策情報データベースJVN iPediaの登録状況 2017年第4四半期（10月～12月）| IPA）

NVD の情報の CVSS v3 系の深刻度を利用した場合の 2017 年から今年までの脆弱性数の推移は以下のようになります。

このグラフから 2022 年もこれまでに引き続き脆弱性数が増加していることがわかります。

また、深刻度別に見てみますと Critical の脆弱性数が急増していることもわかります。

2021 年と 2022 年で深刻度の高い Critical と High の脆弱性数で比較してみると 16% ほど増加しています。

深刻度の割合では Critical と High が全体の 60% 近く占めていることもわかります。

2022 年 脆弱性セキュリティレポート

脆弱性セキュリティレポートでは、上記の NVD の情報をもとに分析した結果だけでなく

• yamory の脆弱性データベースの情報から言語毎の脆弱性の深刻度の違い
• yamory の脆弱性スキャンによって検知された脆弱性の統計情報から依存関係の中の脆弱性の割合
• 攻撃コード（PoC）が多く公開された脆弱性

についても紹介しています。

今年の脆弱性の傾向からどのような対策が必要となっているかについても触れています。

ご興味がある方はぜひこちらよりお申し込みください。