Javaアプリは脆弱性の割合が特に高い──Datadogが「2025年版DevSecOps調査レポート」を発表:Datadog「2025年版DevSecOps調査レポート」
Datadogは「2025年版DevSecOps調査レポート」を発表した。本レポートによると、緊急対応が本当に必要な脆弱性はごく一部に限られることや、他のプログラミング言語と比較してJavaアプリケーションに脆弱性が多いことなどが明らかになった。
Datadog Japanは2025年7月25日、「2025年版DevSecOps調査レポート」を発表した。本レポートでは、緊急対応が本当に必要な脆弱(ぜいじゃく)性はごく一部に限られることや、他言語で開発されたアプリケーションに比べてJavaアプリケーションに脆弱性が多いことが明らかになった。
CVSSの「緊急」脆弱性、優先対応が必要なのはわずか18%
Datadogは脆弱性の深刻度をより正確に理解するため、実行時の状況(ランタイムコンテキスト)を踏まえた優先順位付けのためのアルゴリズムを開発した。同アルゴリズムは、従来のCVSS(共通脆弱性評価システム)が考慮していなかった要素――例えば「脆弱性が本稼働環境で実行されていたか」や「その脆弱性が見つかったアプリケーションがインターネット上で公開されていたか」など――を加味する。
Datadogが同アルゴリズムを適用して分析したところ、CVSS上で「緊急」とされていた脆弱性のうち、実際に優先対応が必要と判断されたものは18%に過ぎなかった。
DatadogのHead of Security Advocacyを務めるアンドリュー・クルーグ氏は、次のように述べている。
「多くのセキュリティエンジニアは、実際には優先度の低い脆弱性への対処に時間を浪費してしまっている。セキュリティ担当部門は日々、膨大な“ノイズ”に対応しており、真に優先すべき脆弱性の識別と対応に集中できないという、深刻な問題を抱えている」
今回のレポートでは、他言語で開発されたアプリケーションと比較して、「Java」のアプリケーションで脆弱性が多く確認された点にも触れている。「Go」「Python」「.NET」「PHP」「Ruby」「JavaScript」では、既知の脆弱性を含むアプリケーションの割合が平均2%だったのに対して、Javaでは44%が既知の脆弱性を抱えていた。
Datadogによると、Javaでは高リスクな脆弱性が多く見られる上、他言語に比べてパッチの適用が遅いことも判明したという。
また、今回のレポートでは、以下のような知見も解説されている。
- 数千もの悪意ある「PyPI」(Pythonのパッケージ管理システム)および「npm」(JavaScriptのパッケージ管理システム)のライブラリを特定した
- データ漏えいの原因の一つである「有効期限の長い認証情報(long-lived credentials)」を利用している組織は減りつつあるが、依然として58%の組織が使用中
- あらゆる言語において多くの依存ライブラリが最新のメジャーアップデートから数カ月遅れており、その遅延が深刻な課題となっている
なお、「2025年版DevSecOps調査レポート」の日本語版は、DatadogのWebサイトで閲覧できる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
脆弱性管理の「もやもや」を解消するポイントとは? 識者や担当者の議論に学ぶ、脆弱性管理体制構築のヒント
2024年11月に開催されたInternet Week 2024では「脆弱性管理は必要不可欠だけど、どう進めればいいか分からない」という課題をテーマに、講演者や参加者同士で議論するBoFが開催された。
普通の組織で「脆弱性管理」を始めるには? 日本シーサート協議会WGが解説する4つのステップ
サイバー攻撃は事業継続を脅かす経営課題となって久しい。サイバー攻撃の被害を招く主要な原因の一つにあるのが、対策可能なはずの「既知の脆弱性」だ。では、普通の組織は既知の脆弱性管理をどう始めればよいのか。日本シーサート協議会の脆弱性管理WGが「Internet Week 2024」で、脆弱性管理を始めるための4つのステップを解説した。
業務利用するApple製品のセキュリティってどうなの? Jamfがレポートを発表
Jamfは、Apple製品のセキュリティに注目したレポート「2025年版セキュリティ360レポート」を発表した。世界90カ国、140万台以上の端末データを分析し、近年の攻撃傾向やセキュリティ課題、求められる対策をまとめている。