Datadog、DevOps組織を標的とする脆弱性と脅威に関する「アプリケーションセキュリティ調査レポート」を発表

この記事は約5分で読めます。
クラウドアプリケーション向けの監視およびセキュリティプラットフォームを提供するDatadog は、『アプリケーションセキュリティ調査レポート』を発表しました。昨今のDevOps組織を標的とする脆弱性と脅威をよりよく理解するために、Datadogの顧客数千社から得た実際のデータを基に調査しました。本レポートによると、緊急とされた脆弱性のうち、実際にリスクが高く、優先的に取り組む必要があるものは3%に過ぎないことがわかりました。

ニューヨーク — クラウドアプリケーション向けの監視およびセキュリティプラットフォームを提供するDatadog, Inc.※1(NASDAQ:DDOG)は、本日、『アプリケーションセキュリティ調査レポート※2』を発表しました。昨今のDevOps組織を標的とする脆弱性と脅威をよりよく理解するために、Datadogの顧客数千社から得た実際のデータを基に調査しました。本レポートによると、緊急とされた脆弱性のうち、実際にリスクが高く、優先的に取り組む必要があるものは3%に過ぎないことがわかりました。

※1: https://www.datadoghq.com/ja/
※2: https://www.datadoghq.com/ja/resources/state-of-application-security-2023/

脆弱性が広範囲に出現する中、脆弱なアプリケーションを迅速に発見することが重要になっています。つまりDevOpsチームには、短期間でアプリをリリースしながら脅威を先取りし、セキュリティ予算を有効に活用する責任があります。共通脆弱性評価システム(CVSS)※3 により緊急であると評価されたすべての脆弱性を、アプリケーションチームとセキュリティチームは優先的に修正しなければなりません。

※3: https://www.first.org/cvss/specification-document 

本レポートでは、標準的なCVSSの深刻度のスコアと、ランタイム・コンテキストを考慮した修正後の深刻度のスコアが比較されています。このアプローチでは、不審なトラフィックの証拠や、インターネットに公開された環境、機密性の高い環境を考慮します。その結果、CVSSで緊急とされた脆弱性の97%が深刻度を下げられる、つまり優先順位を下げられる可能性があることがわかりました。
 

Datadogの最高情報セキュリティ責任者であるエミリオ・エスコバル (Emilio Escobar)は、次のように述べています。「今日のマクロ経済環境では、可能な限りコストを最適化することがこれまで以上に重要となっています。これは、セキュリティチームにとって、ビジネスに最も影響を与える脆弱性を発見して修正することへのプレッシャーが高まっていることを意味します。2023年版アプリケーションセキュリティ調査の結果は、実際に深刻かつ、組織のセキュリティ態勢に最大の影響を及ぼすであろう3%の脆弱性を優先することで、今年のセキュリティ予算の効率を最大化する明確な方法があることを示しています。」

その他、以下のような調査結果が出ています:

  • 10件に1件の割合で、本番環境以外を標的としている。
  • 10件中7件は、プログラミング言語、OS、脆弱性のいずれかの標的を外していたため攻撃に至らなかった。
  • Javaのサービスに最も緊急な脆弱性が多く、Pythonのサービスにはほとんど緊急な脆弱性がない。

 『アプリケーションセキュリティ調査レポート』の全文はこちら( https://www.datadoghq.com/ja/resources/state-of-application-security-2023/ )からご覧ください。
 
Datadogについて
Datadogは、クラウドアプリケーション向けのオブザーバビリティおよびセキュリティプラットフォームを提供しています。Datadogの SaaSプラットフォームは、インフラストラクチャのモニタリング、アプリケーションパフォーマンスモニタリング、ログ管理、リアルユーザーモニタリング、その他多くの機能を統合および自動化し、お客様のテクノロジースタック全体に統合されたリアルタイムのオブザーバビリティとセキュリティを提供します。Datadogは、あらゆる規模の企業、幅広い業界で使用され、デジタルトランスフォーメーションとクラウド移行を可能にし、開発、運用、セキュリティ、ビジネスチーム間のコラボレーションを促進し、アプリケーションの市場投入までの時間と問題解決までの時間を短縮し、ユーザーの行動を理解し、主要なビジネス指標をトラッキングします。

将来の見通しに関する記述
本プレスリリースには、新製品および新機能の利点に関する記述を含め、米国1933年証券法(Securities Act of 1933)第27A条および米国1934年証券取引所法(Securities Exchange Act of 1934)第21E条に規定される「将来予想に関する記述」が含まれています。これらの将来予想に関する記述は、当社の製品および機能の強化、またそれらによってもたらされる利益に関する記述が含まれますが、これらに限定するものではありません。実際の結果は、将来見通しに関する記述とは大きく異なる可能性があり、「リスクファクター」の見出しの下に詳述されているリスクをはじめ、2023年5月5日に米国証券取引委員会に提出したForm 10-Kの年次報告書を含む米国証券取引委員会への提出書類および報告書、ならびに当社による今後の提出書類および報告書に記載されている、当社が制御できない様々な仮定、不確実性、リスクおよび要因の影響を受けます。法律で義務付けられている場合を除き、当社は、新しい情報、将来の事象、期待の変化などに応じて、本リリースに含まれる将来の見通しに関する記述を更新する義務または責務を負いません。

タイトルとURLをコピーしました