「2025年版 DevSecOps 調査レポート」の分析を通じて、“緊急”とされる脆弱性のうち、実際に優先対応すべきものはわずか18% にとどまることが明らかに

ニューヨーク – オブザーバビリティとセキュリティの統合プラットフォームを提供するDatadog, Inc. (NASDAQ: DDOG)は本日、「2025年版 DevSecOps 調査レポート」を発表しました。本レポートの分析を通じて、本当に優先して対処すべき“緊急”な脆弱性は実際にはごく一部に限られていることが明らかになりました。

脆弱性の深刻度をより正確に理解するため、Datadogは実行時の状況（ランタイムコンテキスト）を踏まえた優先順位付けのためのアルゴリズムを開発し、これをCVSS（共通脆弱性評価システム）のベーススコアに組み込みました。ランタイムコンテキストを取り入れることで、「その脆弱性が本番環境で実行されていたか」や「その脆弱性が見つかったアプリケーションがインターネットに外部公開されていたか」などといった、CVSSでは考慮されていなかった要素を判断基準に含めることが可能になりました。これにより、ノイズを減らし、本当に緊急性の高い問題を見極めることが可能になりました。Datadogは、ランタイムコンテキストを適用した結果、CVSS上で“緊急“とされていた脆弱性のうち、実際に優先対応が必要と判断されたものはわずか18%、つまり5件に1件未満にも満たない割合であることを明らかにしました。

DatadogのHead of Security Advocacyであるアンドリュー・クルーグは、次のように述べています。「2025年版 DevSecOps 調査レポートによると、セキュリティエンジニアは、実際には優先度の高くない脆弱性への対処に多くの時間を浪費していることがわかります。セキュリティ担当部門は日々膨大なノイズに対応しており、真に優先すべき脆弱性の識別と対応に集中できないという深刻な問題を抱えています。こうした状況で、もしセキュリティ担当部門が問題の優先順位付けに費やす時間を削減できれば、自分たちの組織が潜在的に保有する攻撃対象領域をより迅速に縮小することが可能になります。公開されているアプリケーションの本番環境で実行され、かつ簡単に悪用されやすい脆弱性に注力することが、セキュリティ体制を現実的かつ効果的に改善する上で最も有効です。」

本レポートにおけるもう1つの要点は、特にJavaサービスにおいて脆弱性が多く確認されている点です。実際、アプリケーションの44%が既知の脆弱性を抱えていることが判明しました。一方、レポートで対象となった他のサービス（Go、Python、.NET、PHP、Ruby、JavaScript）における既知の脆弱性を含むアプリケーション割合は平均でわずか2%でした。

Javaアプリケーションは高リスクな脆弱性が多く見られる上、他のプログラミング環境よりもパッチの適用が遅いことも判明しました。本レポートによるとJavaベースのApache Mavenエコシステムのアプリケーションは、ライブラリの脆弱性修正に平均62日かかったのに対し、.NETベースのエコシステムでは46日、JavaScriptベースのnpmパッケージを使用したアプリケーションでは19日でした。

レポートの主な調査結果は以下の通りです。

攻撃者によるソフトウェアサプライチェーンの標的化： 本レポートの分析により、数千もの悪意あるPyPIおよびnpmライブラリが特定されました。これらのパッケージの一部は悪質なもので、正規のパッケージを模倣する「typosquatting（タイポスクワッティング）」と呼ばれる手法を用いており、正規のpassport libraryになりすましたpassports-jsなどが含まれます。また、Ultralytics、Solana web3.js、lottie-playerなど、広く利用されている正規の依存ライブラリを乗っ取る手法も報告されています。これらの攻撃手法は国家が支援する攻撃者とサイバー犯罪者の両方により活用されています。
認証情報管理は改善されつつあるが、進展は遅れがち： データ漏洩の最も一般的な原因の1つが「有効期限の長い認証情報（long-lived credentials）」の使用です。昨年の調査では、全体の63％の組織が、GitHub Actionsのパイプライン認証において、少なくとも一度は有効期限の長い認証情報を使用していたことが明らかになりました。今年はその割合が58％に減少しており、認証情報管理プロセスの改善が徐々に進んでいる兆しが見られます。
古いライブラリの存在は、すべての開発者に共通する課題： あらゆるプログラミング言語において、多くの依存ライブラリが最新のメジャーアップデートから数ヶ月遅れており、このアップデートの遅れが深刻な課題となっています。特に、月に1回未満の頻度で展開されているサービスでは、日次で展開されているサービスに比べ、47%も多い古いライブラリが使用されていることが明らかになりました。こうした古い依存関係は、未修正の脆弱性を含む可能性が高く、開発者にとって大きなセキュリティリスクとなっています。

Datadogは本レポートにおいて、数千ものクラウド環境で稼働する数万のアプリケーションおよびコンテナイメージを分析しました。この分析を通じて、セキュリティ担当部門が認識すべきリスクの種類およびセキュリティ体制を強化するために採用すべきベストプラクティスが明らかになりました。

「2025年版 DevSecOps 調査レポート」(日本語版) は以下よりご確認いただけます。 https://www.datadoghq.com/ja/state-of-devsecops/

レポート全文（PDF）は以下よりダウンロードが可能です。 https://www.datadoghq.com/ja/resources/state-of-devsecops-2025/

Datadogがどのようにクラウド環境のセキュリティを支援しているかについては、こちらをご覧ください。 https://www.datadoghq.com/ja/product/cloud-security/

Datadogについて

Datadogは、クラウドアプリケーション向けのオブザーバビリティおよびセキュリティの統合プラットフォームを提供しています。Datadogの SaaSプラットフォームは、インフラストラクチャーのモニタリング、アプリケーションパフォーマンスモニタリング、ログ管理、リアルユーザーモニタリング、その他多くの機能を統合および自動化し、お客様のテクノロジースタック全体に統合されたリアルタイムのオブザーバビリティとセキュリティを提供します。 Datadogは、あらゆる規模の企業、幅広い業界で使用され、デジタルトランスフォーメーションとクラウド移行を可能にし、開発、運用、セキュリティ、ビジネスチーム間のコラボレーションを促進し、アプリケーションの市場投入までの時間と問題解決までの時間を短縮し、ユーザーの行動を理解し、主要なビジネス指標をトラッキングします。

将来の見通しに関する記述

本プレスリリースには、新製品および新機能の利点に関する記述を含め、米国1933年証券法（Securities Act of 1933）第27A条および米国1934年証券取引所法（Securities Exchange Act of 1934）第21E条に規定される「将来予想に関する記述」が含まれています。これらの将来予想に関する記述は、当社の製品および機能の強化、またそれらによってもたらされる利益に関する記述が含まれますが、これらに限定するものではありません。実際の結果は、将来見通しに関する記述とは大きく異なる可能性があり、「リスクファクター」の見出しの下に詳述されているリスクをはじめ、2025年5月7日に米国証券取引委員会に提出したForm 10-Qの四半期報告書を含む米国証券取引委員会への提出書類および報告書、ならびに当社による今後の提出書類および報告書に記載されている、当社が制御できない様々な仮定、不確実性、リスクおよび要因の影響を受けます。法律で義務付けられている場合を除き、当社は、新しい情報、将来の事象、期待の変化などに応じて、本リリースに含まれる将来の見通しに関する記述を更新する義務または責務を負いません。