Cloudflare、時代遅れなセキュリティアプローチで増加するオンライン脅威に苦慮する企業の実像を、最新レポートで報告
Cloudflare、時代遅れなセキュリティアプローチで増加するオンライン脅威に苦慮する企業の実像を、最新レポートで報告
インサイトから、新たなZero-day脆弱性、史上最大のDDoS攻撃、サプライチェーン攻撃の増加に伴うエクスプロイトまでの時間の記録的短縮が明らかに
インサイトから、新たなZero-day脆弱性、史上最大のDDoS攻撃、サプライチェーン攻撃の増加に伴うエクスプロイトまでの時間の記録的短縮が明らかに
誰もが接続しやすいコネクティビティクラウドのリーディングカンパニーであるCloudflare(クラウドフレア)は本日、「アプリケーションセキュリティの現状2024年レポート」を発表しました。今年のレポートでは、現在最も利用されているサイトを支える最新のアプリケーション技術に依存することで、組織が直面するリスクに対してセキュリティチームが対応に苦戦していることが明らかになりました。このレポートからソフトウェアのサプライチェーンにおける問題、増加する分散型サービス拒否(DDoS)攻撃、悪意のあるボットなどに起因する脅威の量が、アプリケーションセキュリティ専門チームのリソースを上回る傾向にあることが浮かび上がってきました。
現在のデジタル世界は、WebアプリケーションとAPIによって機能しています。eコマースサイトでの決済処理、医療システムでの患者データの安全な共有、また、スマートフォンで日頃から実行している操作の処理など、その背景にはこうした技術があります。しかしながら、これらのアプリケーションへの依存度が高まれば、攻撃対象領域も拡大してしまいます。この攻撃対象領域は、生成AIの応用など、新機能を迅速に提供したいという開発者の要求によってさらに拡大します。しかし、保護が不十分で攻撃者に悪用されたアプリケーションは、ビジネスの中断、経済的損失、重要インフラの崩壊を引き起こす可能性もあります。
Cloudflareの共同創設者兼最高経営責任者(CEO)であるマシュー・プリンス(Matthew Prince)は、「Webアプリケーションは、セキュリティをほとんど念頭に置かずに構築されています。しかし、私たちは日々、あらゆる重要な機能のためにそれらを使用しており、ハッカーの格好の標的となっています。Cloudflareのネットワークは、顧客のために毎日平均2,090億件のサイバー脅威をブロックしています。つまり、現在のアプリケーションを保護するためのセキュリティレイヤーは、インターネットのセキュリティを確保するための最重要要素のひとつになっています」と述べています。
Cloudflareの「アプリケーションセキュリティの現状2024年レポート」の主な調査結果は以下でご覧ください。
- 件数・量ともに増加の一途をたどるDDoS攻撃: DDoS攻撃は依然として、WebアプリケーションやAPIを標的とするために最も使われている脅威ベクトルであり、Cloudflareが軽減した全アプリケーショントラフィックの37.1%を占めています。最も標的とされた業界は、ゲーミングとギャンブル、ITとインターネット、暗号資産、コンピュータソフトウェア、マーケティングおよび広告でした。
- パッチ適用が先か悪用が先か、攻撃者との攻防が加速: Cloudflareは、新しいZero-day脆弱性の悪用をかつてない速さで観測していますが、一例として、概念実証(PoC)が公開されてからからわずか22分後に攻撃が発生しました。
- 悪質なボット。放置が大規模な混乱を誘因: 全トラフィックの3分の1(31.2%)がボットによるものであり、そのうち(93%)といった大部分が未検証、潜在的悪意を持つものでした。最も標的にされたのは、製造業および消費財業界、暗号資産、セキュリティおよび調査、米国連邦政府でした。
- 組織が使用する時代遅れのAPI保護アプローチ: APIトラフィックに対する防御には「ほとんどのWebトラフィックは良性である**」**という視点のブラックリスト型セキュリティモデルを使用する従来のWebアプリケーションファイアウォール(WAF)ルールが最も一般的に活用されています。許可されたトラフィックを厳格に定義し、それ以外のトラフィックを拒否するという、より広く受け入れられているAPIセキュリティのベストプラクティスであるホワイトリスト型のセキュリティモデルを使用している組織は、はるかに少ないのです。
- サードパーティソフトウェアへの依存がもたらすリスク増大: Webサイトの効率とパフォーマンスを向上させるために、組織はサードパーティプロバイダーから平均47.1個のコードを使用し、サードパーティリソースに平均49.6個のアウトバウンド接続を行っています。具体的には、Google Analyticsや広告の活用などが挙げられます。しかし、Web開発の大部分が、このようなサードパーティのコードやアクティビティをユーザーのブラウザに読み込ませるようにシフトしているため、企業はますますサプライチェーンリスクや責任、コンプライアンスに関する懸念にさらされるようになっています。
レポートの手法: 本レポートは、Cloudflareグローバルネットワークにおけるトラフィックパターン(2023年4月1日~2024年3月31日に観測されたデータ)を集計したものです。このデータとCloudflareのネットワークからの脅威インテリジェンスは、サードパーティのソースによって補完されています。Cloudflareはデータ収集期間中、全WebアプリケーションおよびAPIトラフィックの6.8%を軽減しました。軽減されたトラフィックとは、Cloudflareによってブロックされた、または何らかのチャレンジが実行されたトラフィックと定義されています。具体的な脅威の種類と関連する緩和手法は、アプリケーションの潜在的なセキュリティギャップ、被害企業の事業性質、攻撃者の目標などの多くの要因によって異なります。
詳細については、以下のリソースをご覧ください。
Cloudflareについて
Cloudflare, Inc.(NYSE:NET)は、世界中のあらゆる組織や個人、アプリケーション、ネットワークを高速かつ安全にするとともに複雑性やコストの削減を実現する、誰もが接続しやすいコネクティビティクラウドのリーディングカンパニーです。Cloudflareのコネクティビティクラウドは、最もフル機能かつ統一されたクラウドネイティブ製品と開発者ツールプラットフォームを提供し、業務、開発、ビジネスの加速に欠かせないコントロールをあらゆる組織にもたらします。
世界最大級で相互接続数も最多級のネットワークを誇るCloudflareは、お客様のために日々何十億件ものオンライン脅威をブロックしています。大手企業、起業家、小企業、非営利団体、人権団体、政府機関まで、世界中で数百万に上る組織から信頼をお寄せいただいています。
Cloudflareのコネクティビティクラウドの詳細:cloudflare.com/connectivity-cloud。最新のインターネット動向と洞察について:https://radar.cloudflare.com。
SNS:ブログ | X | LinkedIn | Facebook | Instagram
将来予想に関する記述
本プレスリリースには、将来予想に関する記述(1933年米国証券法第27A条および1934年米国証券取引所法21E条(いずれもその後の改正を含む)に該当)があり、それらには重大なリスクおよび不確定要因が含まれています。将来予想に関する記述は、「場合があります」、「つもりです、するでしょう」、「はずです」、「見込まれます」、「可能性を探ります」、「する計画です」、「予想します」、「かもしれません」、「意図しています」、「目標とします」、「見積ります」、「検討します」、「考えます」、「推測します」、「予測します」、「潜在的」、「引き続き」、またはそれらの否定表現、あるいはCloudflareの予想、戦略、計画、または意図に関わるその他同様の用語もしくは表現によって識別することができます。しかし、すべての将来予想に関する記述にこうした語句が含まれているわけではありません。本プレスリリースにて明示または黙示されている将来予想に関する記述には、Cloudflareの製品と技術、Cloudflareの技術開発、将来の事業展開、成長、イニシアチブ、戦略、今後の市場リスクと市場動向、CEOのコメントに関する記述を含みますが、それらに限定はされません。Cloudflareが2024年5月2日に米国証券取引委員会(SEC)に提出したCloudflareの四半期報告書(フォーム10-Q)やCloudflareがSECに随時提出するその他の文書で詳説するリスク(ただしこれらに限定はされない)をはじめ、さまざまな要因によって、上記の将来予想に関する記述で明示または黙示した結果と実際の結果との間に重大な相違が生じる可能性があります。
本プレスリリースに含まれる将来予想に関する記述は、あくまで記述当日現在の事象についてのみ言及しています。Cloudflareは、法律で義務付けられた場合を除き、本プレスリリースの日付以降の事象や状況を反映するために、あるいは新しい情報や予期しない事象の発生を反映するために、将来予想に関する記述を更新する義務を負いません。Cloudflareが将来予想に関する記述で開示した計画、意図、予想は実際に実行・達成されない場合があるため、Cloudflareの将来予想に関する記述に過剰に依存すべきではありません。
©2024 Cloudflare, Inc. All rights reserved. Cloudflare、Cloudflareのロゴ、およびその他のCloudflareのマークは、米国およびその他の法域におけるCloudflare, Inc.の商標や登録商標です。本書に記載されているその他の商標および名称は、各所有者の商標である可能性があります。