00:00:00昨年はサイバーセキュリティにおいて記録的な年となりましたが、それは決して良い意味ではありませんでした。
00:00:04昨年公開されたCVEは48,000件を超え、単年で発見された脆弱性の数としては
00:00:10公式に過去最多を記録しました。
00:00:13そして、状況は今後さらに厳しくなっていくことが予想されます。
00:00:17この動画では、統計データを詳しく見ていき、なぜ脆弱性の数が急増しているのか、
00:00:22そして私たちはどう対処すべきかを探っていきます。
00:00:29昨年の脆弱性は前年比で18%増加しました。これは平均すると、年間を通して毎日130件もの
00:00:35新たなセキュリティ上の欠陥が発見されていたことになります。
00:00:39さらに深刻なのは、2025年初頭のデータによると、観測されたエクスプロイトの約28%が
00:00:46脆弱性の公開からわずか1日以内に実行されているという点です。
00:00:49つまり、開発者がパッチをリリースする頃には、攻撃者はすでに
00:00:54システムを標的にして積極的に攻撃を仕掛けているということです。
00:00:57言うまでもなく、AIコーディングの普及がこの双方の動きを加速させています。
00:01:01「バイブ・コーディング」の台頭により、AIコーディング・エージェントによるセキュリティ対策の甘さが原因で、
00:01:07新たなシステムに未知の脆弱性が入り込む隙を与えています。
00:01:11一方で攻撃者にとっても、システムの重大な問題をスキャンし、それらの脆弱性を突くための
00:01:17スクリプトを迅速に生成することが、かつてないほど容易かつ高速になっています。
00:01:22しかし、エクスプロイトの種類を見てみると、意外なことにクロスサイトスクリプティング(XSS)や
00:01:27SQLインジェクションが、依然として最も一般的な攻撃ベクターの一つとなっています。
00:01:32したがって、アプリやシステムに適切な入力値のサニタイズを実装することは、
00:01:38自分たちを守るためにできる最も簡単で効果的な対策の一つです。
00:01:40特定のWebフレームワークに目を向けると、WordPressは依然として新たに発見されるCVEの最大の発生源であり、
00:01:45WordPress単体で約7,000件の新種の脆弱性が発見されています。
00:01:52そのため、個人的にはWordPressの使用は避けるよう忠告します。
00:01:55もし次のプロジェクトでWordPressを使う予定があるなら、プラグインの使用は最小限に抑えてください。
00:02:00というのも、WordPress関連のバグの圧倒的多数(90%)はサードパーティ製のプラグインに起因し、
00:02:07さらに6%はテーマ、WordPressコアソフトウェア自体に起因するものはわずか4%に過ぎないからです。
00:02:15つまり、WordPressのコア自体は比較的安全ですが、プラグインはメンテナンスが行き届いていないことが多く、
00:02:21問題が放置されている可能性があるのです。
00:02:23ここで、一つの重要な疑問が浮かびます。
00:02:25では、どの言語やフレームワークが比較的安全なのでしょうか?
00:02:28データによると、平均してRust、Java、Go、C#、Python、Swiftなどのメモリ安全な言語は、
00:02:36C、C++、アセンブリのようなメモリ安全でない言語よりも安全であると見なされています。
00:02:43後者の言語は、直接的なポインタ操作を許容するためです。
00:02:47MicrosoftやGoogleなどの大規模なコードベースにおける高深刻度なセキュリティ脆弱性の約70%は、
00:02:52メモリ安全性の問題によって引き起こされているという研究結果もあります。
00:02:592025年の大きな変化として、CISA、NSA、ホワイトハウスなどの組織が、
00:03:06メモリ安全でない言語から脱却するよう、開発者に強力な働きかけを行っていることが挙げられます。
00:03:11また、脆弱性リスクを評価する際には「コード密度」に注目することも重要です。
00:03:16Googleの2025年のデータによれば、Rustコードの脆弱性密度は100万行あたり0.2件ですが、
00:03:26従来のCやC++のコードでは100万行あたり1,000件近くに達しています。
00:03:32CやC++は70年代から存在しており、未修正の脆弱性を孕んだレガシーなコードが大量に残っていることを考えれば、
00:03:37これは至極当然の結果と言えます。
00:03:42もし次のプロジェクトでCかRustか迷っているなら、この事実だけでも、
00:03:47セキュリティの観点からRustを選ぶ十分な理由になるでしょう。
00:03:52OSに目を向けると、圧倒的に脆弱性が多いのはLinuxカーネルです。
00:03:59これは驚くべきことではありません。Linuxカーネルはあらゆるところで使われているからです。
00:04:04サーバー、Android、IoTデバイスなど、多岐にわたるシステムを支えています。
00:04:09そのため、多くの研究者によって厳格に調査されており、
00:04:12結果として多くのバグが発見され、公開されています。
00:04:15さらに、オープンソースプロジェクトは潜在的な攻撃者の注目も集めやすい性質があります。
00:04:202026年に向けて、迫りくる脅威からシステムを守るために、
00:04:25私たちはどのような準備をすべきでしょうか?
00:04:28現実には、もはや人間のハッカーだけが相手ではありません。
00:04:32私たちは「マシン対マシン」の戦いの時代に突入しています。
00:04:36今年注力すべきセキュリティの「3つの柱」をご紹介します。
00:04:401つ目は、メモリ安全性を優先すること。
00:04:43新規開発では、Rust、Go、Swiftなどのメモリ安全な言語を優先してください。
00:04:49CやC++から移行することは、脆弱性密度を下げる最も効果的な方法です。
00:04:552つ目は、AI主導のモニタリングの実装です。
00:04:58攻撃者がAIを駆使し、脆弱性公開から24時間以内に攻撃を仕掛けてくる現状では、
00:05:05もはや手動による監視だけでは不十分です。
00:05:06振る舞い分析を用いて異常をリアルタイムで検知する、自動化された検出システムを導入すべきです。
00:05:13こうした検知に最適なモニタリングツールの一つが「Better Stack」です。
00:05:17Better StackにはAIネイティブのエラー追跡機能が組み込まれており、AI SRE(サイト信頼性エンジニア)が
00:05:24システムの異常を24時間いつでも通知してくれます。
00:05:283つ目は、サプライチェーンの攻撃面を最小限に抑えることです。
00:05:32これは現代の開発における重要な教訓です。
00:05:35依存関係を減らしましょう。
00:05:37多くの脆弱性は、サードパーティのプラグインやライブラリから発生しています。
00:05:41昨年猛威を振るった「React to Shell」エクスプロイトがその典型例です。
00:05:46これについてはJamesが素晴らしい解説動画を出しているので、ぜひこちらからご覧ください。
00:05:49最後に、4つ目にすべきことは、当チャンネルを登録して
00:05:54新たな重大な脆弱性に関する最新情報を見逃さないようにすることです。
00:05:58Better Stackチャンネルでは、新たに発見された脆弱性への対応を含め、
00:06:03最新の開発動向を随時お届けしています。
00:06:06この動画が役に立ったと思ったら、動画の下にある「いいね」ボタンを押して
00:06:10ぜひ教えてください。
00:06:13Better StackのAndresでした。また次の動画でお会いしましょう。