サイバーセキュリティ企業のKasperskyが、企業や団体が社内で開発するWebアプリケーションの脆弱性について調査を行い、その結果を発表した。調査は2021年から2023年にかけて行われ、対象となったのは政府機関、IT、保険、電気通信、仮想通貨、eコマース、ヘルスケアなどの企業や団体だ。

調査の結果、Webアプリケーションの70%にアクセス制御とデータ保護に関連する欠陥が見つかり、セキュリティ対策の強化が必要であることが明らかになった。アクセス制御の不備は、ユーザーのアクセス権を制限するWebサイトポリシーを回避しようとする攻撃者に悪用される可能性があり、不正アクセスやデータの改ざん、消去などを引き起こす可能性がある。また、機微な情報の露出は、パスワードやクレジットカード情報、医療記録、個人データ、ビジネス上の機密情報など、機密性の高い情報の漏えいにつながる。

さらに、リスクレベルの高い脆弱性で最も多かったのは、SQLインジェクションに関するもので、88%に上った。次に多かったのは、「弱いユーザーパスワード」に関連するもので、これらの脆弱性全体の78%が高リスクに分類された。

この調査結果は、企業や団体が社内で開発するWebアプリケーションのセキュリティ対策に重要な示唆を与える。Webアプリケーションのセキュリティレベルを高め、攻撃を迅速に検知するためには、セキュアなソフトウェア開発ライフサイクル（SSDLC）の採用、アプリケーションのセキュリティ評価の定期実施、ロギングとモニタリングの仕組みを使ったアプリケーションの運用状況の追跡などが推奨される。

Kasperskyは、この調査結果を踏まえて、企業や団体が社内開発するWebアプリケーションの脆弱性を改善し、機密情報を保護し、不正アクセスを防ぐための具体的な対策を提案している。