SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Data Tech 2022

2022年12月8日(木)10:00~15:50

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZineニュース

55%がAPIに対するDoS攻撃を経験【Radware セキュリティの現状報告書】

 米現地時間1月20日、Radware(以下、ラドウェア)は、「2020-2021年のWebアプリケーションセキュリティの現状報告書」を発表した。本調査は、オスターマンリサーチに委託し、従業員数1,000人以上の組織の意思決定者や影響力保持者205人を対象に調査を実施したという。

 調査対象となった組織の従業員数の中央値は2,200人。調査対象者の主な職務は、ネットワークセキュリティやDevOps/DevSecOps、ネットワーク運用および関連業務、アプリケーション開発、アプリケーションセキュリティ、その他様々なITおよび関連業務である。調査対象者の大多数は、幹部職を含む上級管理職または管理職としている。

報告書の概要

これからの大きな脅威、API

 ユーザーの認証情報、支払い情報、社会保障番号など、様々な種類の機密データがAPIによって処理されている。そのためAPIの悪用は、最も頻繁に発生する攻撃になると予想されるという。

 調査対象となった組織のおよそ40%が、「自社のアプリケーションの半分以上がAPIを介してインターネットやサードパーティのサービスにさらされている」と報告している。また、55%がAPIに対するDoS攻撃、49%がインジェクション攻撃を少なくとも月に一度は経験している。

企業はボットトラフィックへの備えができていない

 企業がボットトラフィックを適切に管理する準備ができていない状態も、大きな課題となっている。本報告書では、本物のユーザーとボットを区別するための専用ソリューションを導入している組織はわずか24%にすぎないことが明らかになった。加えて、調査対象者のうち、悪質なボットが何をしているのかを理解していると自信をもっているのは、わずか39%にとどまったとしている。

揺らぐモバイルアプリの安全性

 セキュリティが完全に統合されているモバイルアプリは36%しかなく、大多数のアプリではセキュリティが最小限かまったくない(22%)という結果が出ている。モバイルアプリのセキュリティ対策が講じられるまでは、モバイルチャネルを攻撃するインシデントがさらに発生し、より深刻になることが予想されるという。

セキュリティ担当者が意思決定者でないゆがみ

 調査対象の約90%において、セキュリティスタッフは、アプリケーション開発のアーキテクチャや予算に影響を与える主な存在ではないとしている。また約43%が、セキュリティはリリースサイクルのエンドツーエンドの自動化を妨げるべきではないと答えている。これは、企業のセキュリティ責任者が、アプリの開発方法をほぼコントロールできない状況を示している。

なくならないDDoS攻撃

 最も一般的なボット攻撃はDDoSであり、86%が同様の攻撃を経験したことがあると答え、3分の1は毎週のように発生、5%は毎日のように発生していると報告している。アプリケーション層でのサービス妨害は、HTTP/Sフラッドの形で頻繁に発生している。60%が、1ヵ月に1回以上の頻度でHTTPフラッドを経験しているという。

 ラドウェアのチーフ・オペレーティング・オフィサー、ガビ・マルカ氏は、「回答者の70%以上が、本番アプリが既にデータセンターを離れていると報告しています。特にマルチクラウド環境では、これらのデータやアプリケーションのセキュリティと完全性を確保することがより困難になっています。このクラウドマイグレーションは、APIへの依存度の高まりや、安全性の低いモバイルアプリの追加と相まって、サイバーセキュリティの脆弱さにつけ込む犯罪者のターゲットとなります。既にパブリッククラウドに移行し、APIにさらされているアプリをいくつかもっている現状を把握している回答者は、リスクを理解しているようです。しかし、それ以外の回答者は、無関心で危険に気づいていないだけだと言えます」と述べている。

【関連記事】
ラドウェアがデータセンターからAzureへの容易な移行を支援するソリューションを発表
ラドウェア、AWSとAzure上のアプリケーション向けDDoS攻撃防御サービスを発表
ラドウェア、脅威とアプリケーションへ自動適応する「クラウド・セキュリティ・サービス」を発表

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
関連リンク
この記事の著者

EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/news/detail/13895 2021/01/29 13:22

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年12月8日(木)10:00~15:50

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング