Webアプリの脆弱性対策はどうする？　実際にリスクをもたらす脅威とは

　昨今、Webアプリケーションを標的とするサイバー攻撃が増えている。Webアプリケーション開発では膨大なライブラリが使用されているが、それらにはアプリケーション全体を危険にさらす脆弱性が含まれている可能性があるため、その特定と修正は重要な取り組みとなっている。

　増え続ける脆弱性に対応するには、まず優先順位を付けることが重要だ。ランタイムコンテキストを活用すれば、各脆弱性の実際の深刻度が正確に反映されるようにCVSS（共通脆弱性システム）スコアを調整できる。実際、数千社の脆弱性データを分析した調査では、稼働環境を加味して脆弱性の深刻度を再評価したところ、97％の脆弱性の優先順位を下げられることが判明したという。

　つまり、即座に対応すべき緊急の脆弱性は3％ということになる。本資料では同調査の結果から見えてきた、Webアプリケーションの脆弱性に関する7つのファクトを紹介する。本当に対策が必要な脆弱性は何か、どの脅威が実際にリスクをもたらすのか、アプリケーションとAPIのどの特性がリスクに影響するのかを考察していく。