-
タグ
タグ
- アーキテクト
- アジャイル開発
- アプリ開発
- インシデントレスポンス
- イベントレポート
- カスタマーストーリー
- カルチャー
- 官民学・業界連携
- 企業市民活動
- クラウド
- クラウドインテグレーション
- クラブ活動
- コーポレート
- 広報・マーケティング
- 攻撃者グループ
- 子育て、生活
- サイバー救急センター
- サイバー救急センターレポート
- サイバー攻撃
- サイバー犯罪
- サイバー・グリッド・ジャパン
- サプライチェーンリスク
- システム開発
- 趣味
- 障がい者採用
- 初心者向け
- 白浜シンポジウム
- 情シス向け
- 情報モラル
- 情報漏えい対策
- 人材開発・教育
- 診断30周年
- スレットインテリジェンス
- すごうで
- セキュリティ
- セキュリティ診断
- セキュリティ診断レポート
- 脆弱性
- 脆弱性管理
- ゼロトラスト
- 対談
- ダイバーシティ
- テレワーク
- データベース
- デジタルアイデンティティ
- 働き方改革
- 標的型攻撃
- プラス・セキュリティ人材
- モバイルアプリ
- ライター紹介
- ラックセキュリティアカデミー
- ランサムウェア
- リモートデスクトップ
- 1on1
- AI
- ASM
- CIS Controls
- CODE BLUE
- CTF
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- DevSecOps
- DX
- EC
- EDR
- FalconNest
- IoT
- IR
- JSOC
- JSOC INSIGHT
- LAC Security Insight
- NDR
- OWASP
- SASE
- Tech Crawling
- XDR
Webアプリケーションを狙った攻撃は年々巧妙化しており、ひとたびWebサイトに潜在する脆弱性を悪用されてしまうと、情報漏えいや不正利用などの重大なセキュリティ事故につながるケースも少なくありません。特に、Webアプリケーションは外部から常時アクセス可能であることに加え、個人情報や認証情報、業務データなどを扱う場面も多く、攻撃者にとって狙われやすい対象となっています。
IPA(独立行政法人 情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威(組織編)※」でも、「システムの脆弱性を突いた攻撃」が2016年の初選出以降、複数年にわたり繰り返しランクインしており、2025年版においても、組織向け脅威の1つとして挙げられています。
※ 情報セキュリティ10大脅威 2026|独立行政法人 情報処理推進機構(IPA)
こうした背景から、Webアプリケーションにどのような脆弱性が存在しやすいのかを把握し、優先的に対策すべきポイントを知ることの重要性が高まっています。ラックでは、自社の「Webアプリケーション診断」で得られた診断結果をもとに、Webアプリケーションに潜む脅威の傾向を紹介するホワイトペーパー『Webアプリケーション診断|検出割合の高い脆弱性解説【2025年版】』を公開しました。
この記事では、ホワイトペーパーの見どころをご紹介していきます。
ホワイトペーパーの見どころ
本ホワイトペーパーでは、2025年に実施したWebアプリケーション診断結果の中から、ラックの基準で重大事故につながりかねないリスクレベル「High」「Medium」に該当する脆弱性にフォーカスし、検出割合が高かった脆弱性の上位10件を紹介しています。さらに、診断現場を熟知したラックの診断員が選定した3つの脆弱性について、「脆弱性の概要」、「想定される影響」、「対策例」を解説しています。
運営中のWebサイトにどのようなリスクが潜んでいるのかを把握し、脆弱性対策の優先順位を検討するための参考資料としてご活用いただけます。Webアプリケーションの開発・運営に関わる方や、セキュリティ対策、品質管理を担当されている方におすすめの内容です。
Webアプリケーション診断結果2025年版 検出割合の高い脆弱性
ホワイトペーパーで掲載している内容を一部ご紹介します。
2025年に実施したWebアプリケーション診断結果の中から、ラックの基準で重大事故につながりかねないリスクレベル「High」「Medium」に該当する脆弱性にフォーカスし、検出割合が高かった脆弱性の上位10件のうち、特に検出割合が高かった上位3件はこちらの脆弱性でした。どれも対前年から順位は変わらず、引き続き検出割合の高い脆弱性です。
| 順位 | 脆弱性の種別 | 割合 | 順位比較(対前年) |
|---|---|---|---|
| 1 | HTTPSのCookieにsecure属性の指定なし | 7.7% | → |
| 2 | パラメータ改ざんによるシステムの不正利用 | 7.6% | → |
| 3 | URLに重要な情報を格納 | 6.8% | → |
ラックの診断員が選定した脆弱性を解説
2025年にラックのWebアプリケーション診断で検出された脆弱性の中から、特に注意が必要と考えられる3種の脆弱性を取り上げ、脆弱性の概要、想定される影響と対策方法の例を解説します。前年度から検出割合が上昇しリスクが顕在化しつつあるものに加え、長年にわたり繰り返し検出されている定番の脆弱性などをピックアップして解説しています。
ホワイトペーパーのダウンロード
ホワイトペーパーでは、検出割合の高い脆弱性の紹介・解説に加えて、ラックが提供しているWebアプリケーション診断についても紹介しています。Webアプリケーションに対して脆弱性の有無を確認することで、潜在的なリスクを可視化します。診断結果をもとに対策を実施することで、セキュリティ事故の発生や被害の低減につながります。
Webサイトの特性や目的、ご要望に応じた診断メニューをご用意していますので、診断サービスの概要についても、ぜひホワイトペーパー内でご確認ください。
この記事をシェアする
関連記事
タグ
- アーキテクト
- アジャイル開発
- アプリ開発
- インシデントレスポンス
- イベントレポート
- カスタマーストーリー
- カルチャー
- 官民学・業界連携
- 企業市民活動
- クラウド
- クラウドインテグレーション
- クラブ活動
- コーポレート
- 広報・マーケティング
- 攻撃者グループ
- もっと見る +
- 子育て、生活
- サイバー救急センター
- サイバー救急センターレポート
- サイバー攻撃
- サイバー犯罪
- サイバー・グリッド・ジャパン
- サプライチェーンリスク
- システム開発
- 趣味
- 障がい者採用
- 初心者向け
- 白浜シンポジウム
- 情シス向け
- 情報モラル
- 情報漏えい対策
- 人材開発・教育
- 診断30周年
- スレットインテリジェンス
- すごうで
- セキュリティ
- セキュリティ診断
- セキュリティ診断レポート
- 脆弱性
- 脆弱性管理
- ゼロトラスト
- 対談
- ダイバーシティ
- テレワーク
- データベース
- デジタルアイデンティティ
- 働き方改革
- 標的型攻撃
- プラス・セキュリティ人材
- モバイルアプリ
- ライター紹介
- ラックセキュリティアカデミー
- ランサムウェア
- リモートデスクトップ
- 1on1
- AI
- ASM
- CIS Controls
- CODE BLUE
- CTF
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- DevSecOps
- DX
- EC
- EDR
- FalconNest
- IoT
- IR
- JSOC
- JSOC INSIGHT
- LAC Security Insight
- NDR
- OWASP
- SASE
- Tech Crawling
- XDR