世界のフィンテック新興企業Top100におけるアプリケーションセキュリティの現状 最も有名で資金豊富なフィンテック新興企業100社のうち98社は、フィッシング、ウェブ、モバイルアプリケーションのセキュリティ攻撃に対して脆弱です。 CB Insightsは最近、「The Fintech 250：The Top Fintech Startups Of 2018」というタイトルのレポートをまとめました。レポートによると、250社が947件の取引で合計約530億ドルの資金を調達しました。このレポートには、初期段階(シード/シリーズA)から資金の豊富なユニコーン企業まで、さまざまな開発段階にある企業が含まれています。 今日、私たちはデジタルの変革と、従来の銀行モデルに対する新興のフィンテック企業の影響の増加を観察しています。ゲームを一変させるユニコーンの顕著な例であるRevolutについては、誰もが聞いたことがあるでしょう。都市化、ブロックチェーン、AIテクノロジーの急速な普及は、世界の金融業界を混乱に陥れ、動揺させています。 「S&Pグローバルワールド100大銀行のアプリケーションセキュリティの現状」という調査について肯定的なフィードバックをいただいたため、上記のCB Insightsレポートから上位100のフィンテック新興企業を対象に同様の調査を実施することにしました。 この研究の目的は、フィンテック企業のウェブおよびアプリケーションセキュリティの全体的な状況を明らかにし、従来の銀行の結果と比較することです。   主な研究結果 セキュリティ 100%の企業が、放置または忘れられたウェブアプリケーション、API、およびサブドメインに関連するセキュリティ、プライバシー、およびコンプライアンスの問題を抱えています。 250のフィンテック企業のうち8つのメインウェブサイトと64のサブドメインに、中リスクまたは高リスクの、公開されていて悪用可能なセキュリティ脆弱性が少なくとも1つ発見されました。 最も一般的なウェブサイトの脆弱性は、XSS(クロスサイト・スクリプティング、OWASP A7)、機密データの露出(OWASP A3)、不適切なセキュリティ設定(OWASP A6)でした。 パッチが適用されていない最も古いセキュリティ脆弱性はCVE-2012-6708で、2012年以降に公開されているjQuery 1.7.2に影響を及ぼします。 モバイルアプリケーションのうち100%において、中リスクのセキュリティ脆弱性を少なくとも1つ含んでおり、97%は、少なくとも2つの中リスクまたは高リスクの脆弱性を含んでいます。 モバイルアプリケーションのバックエンド(REST/SOAP API)の56%には、SSL/TLSの設定に関する重大な設定ミスやプライバシーの問題があり、 ウェブサーバーのセキュリティ強化が不十分です。 コンプライアンス 62%の企業は、自社のメインウェブサイトでもPCI DSSコンプライアンステストに合格しませんでした。 同様に、64%の企業が自社のメインウェブサイトでGDPRコンプライアンステストに合格しませんでした。   目次   方法論とデータソース ウェブサイトセキュリティ SSL/TLS暗号化セキュリティ PCI DSSおよびGDPR ウェブサイトコンプライアンス ウェブアプリケーションファイアウォール（WAF）の使用 モバイルアプリケーションとバックエンドAPI 商標権侵害とブランド乱用 S&P Global 100大銀行とのベンチマーク 推奨事項と結論     1. 方法論とデータソース S&P … Continue reading 世界のフィンテック新興企業Top100におけるアプリケーションセキュリティの現状