改めて押さえておきたい脆弱性対応の考え方

深刻化するセキュリティリスク「脆弱性」とどう向き合うべきか

法人内ネットワークに潜在する「脆弱性」は、重大なセキュリティリスクだ。それを低減させることは全ての法人にとって重要な課題と言える。ただし、IoT利用の活発化などにより、法人が脆弱性対策を講じるべき対象は増大を続けているほか、新たな脆弱性も毎日のように発見されている。そうした状況を踏まえながら、法人組織が、脆弱性とどう向き合っていくべきかについて考察する。








監修:石原陽平
トレンドマイクロ株式会社
グローバルIoTマーケティング室

なぜ重要!?脆弱性対策

本稿の導入部分でも述べたとおり、「脆弱性」は深刻なセキュリティリスクであり、その対策を講じることは優先度の高いセキュリティ施策だ。

実際、法人におけるセキュリティインシデントの多くが「脆弱性」に起因したものであり、サイバー攻撃者の多くが脆弱性を目がけて攻撃を仕掛けてくる。例えば、トレンドマイクロが独自に調べたところ、2020年1月から9月にかけて公開されたセキュリティ侵害事例174件のうち41件(=全体の24%)で攻撃者による脆弱性の悪用が確認されている(図1)。また公開事例のうち81件はセキュリティ侵害の原因が「不明」とされているが、その中にも脆弱性が悪用されたケースが多く含まれていると推測できる。

図1:公開セキュリティインシデントの発生原因

出典:トレンドマイクロ調べ

そもそも脆弱性とは何か?

脆弱性という深刻なセキュリティリスクを低減させる最初の一歩は、自社内のネットワークに潜在している脆弱性を洗い出すことである。また、それを行うには「そもそも脆弱性とは何か」を正しく認識しておく必要がある。

では、そもそも脆弱性とは何なのか──。

NIST(米国国立標準技術研究所)による脆弱性の定義を邦訳すると、「脆弱性とは、脅威ソースによって悪用、またはトリガーされる可能性のある情報システム、システムセキュリティ手順、内部統制、または実装上の弱点を指す。」となる。

この定義が示しているのは、いわゆる「セキュリティホール」だけが脆弱性ではなく、より広範なセキュリティ上の「弱点」が脆弱性であるということだ。

ときおり、「脆弱性=セキュリティホール」という認識が見受けられるが、セキュリティホールとは、セキュリティ侵害につながる「ソフトウェアのバクや設計上の不備」などを指すもので、脆弱性を構成する一要素にすぎない。例えば、ソフトウェアにバグがなくても、運用/活用の方法にセキュリティ侵害につながる弱点があれば、それも脆弱性と見なされる。

対策の難度は極めて高い

脆弱性対策を講じることの重要性・必要性は、かねてからさまざまに指摘されてきた。それでも、脆弱性を悪用したセキュリティ侵害の被害が減らないのは、脆弱性対策の難度が高いためである。

例えば、自社のネットワークにどのような脆弱性があるかを調査するだけでも、かなりの工数と労力がかかる場合がある。というのも、それを行うには自社が保有する全てのIT資産の棚卸が必要とされるからだ。少なくとも、自社で使用しているエンドポイント(クライアント端末やサーバ)の全台について、稼働しているOSやミドルウェア、アプリケーションの種類とバージョンが把握できていることが前提となる。

もちろん、自社のIT環境について全社的なIT資産管理が徹底されていれば、そうした把握は難しいことではないかもしれない。

ただし、法人組織の規模が大きくなればなるほど、管理対象となるエンドポイントの台数が増え、かつ、それらの導入・使用に関してガバナンスを浸透させるのも難しくなる。結果として、管理の目が行き届いていない(IT資産管理の対象から外れた)エンドポイントが、組織内の各所に散在し、脆弱性対策に漏れが生じるケースが間々発生している。

加えて今日では、法人によるIoTの導入・活用が進み、脆弱性対策の適用対象となる機器の種類と数が急激に増え始めている。例えば、OT(Operational Technology)に類する産業用制御システム(ICS)をはじめ、IoTゲートウェイ、複合機、Webカメラ、ウェアラブルデバイスなど、多岐にわたる機器が、法人のITネットワークに接続されるようになってきている。結果として、脆弱性を正確に把握し、必要な対策を漏れなく講じる難度は上昇を続けている。

さらに現在、市場で広く使われているOSやミドルウェアの脆弱性も含めて、極めて数多くの脆弱性が毎日のように報告されている。例えば、2019年にCVE (Common Vulnerabilities and Exposures)番号(*1)が適用された脆弱性だけでも1,095件に及ぶ。

  • *1 CVE番号:脆弱性やセキュリティインシデントに付与された固有の番号。IT企業が自社製品の脆弱性情報を公開する際に使われる。


また、脆弱性対策情報データベース「JVN iPedia」に対して新たに登録された情報も2020年1月から9月の9カ月間だけで実に1万1,900件に上っている(図2)。つまり、1日平均で約44件もの脆弱性対策情報が登録されている計算になる。

図2:脆弱性対策情報データベース「JVN iPedia」の登録状況

出典:JVN iPediaのデータを基にトレンドマイクロが算出


これだけの数の情報に一つ一つ目を通すだけでも相当の労力がいる。そのうえで、新たな情報と自社のIT環境を突き合わせ、発見された脆弱性が自社のシステム全体にどのような影響を及ぼすかを見定めるのは大変な作業だ。とりわけ、汎用的で標準的なソフトウェアは、IT製品のみならず、ICSを構成する各種の機器や組み込み製品などにも広く普及・浸透している。ゆえに影響範囲が非常に広く、それを特定にするのにかなりの時間を要するのが一般的である。

また、組み込み機器の場合、利用者側ではなくメーカー側も、報告された汎用ソフトウェアの脅威情報が、自社製品に関係するものかどうかを追跡するのが難しいことがある。さらに、OT製品の場合、発見された脆弱性が、自社製品にどう影響するかが特定できたとしても、ユーザーの元で稼働している製品に対して脆弱性修正プログラム(セキュリティパッチ)を適用するのが困難である場合が多い。工場などに導入されているICSは、計画されたパフォーマンスで稼働し続けることが強く求められ、セキュリティパッチを適用するための予定外のシステム停止は基本的に許されないからだ。

もう一つ、脆弱性対策を困難にしている要因と言えるのは、市場で広く普及しているソフトウェアの場合、脆弱性への攻撃手法が確立されており、サイバー攻撃者が脆弱性を突くスピードが非常に速く、メーカーが正式なセキュリティパッチを前に攻撃を仕掛けてくる攻撃者──つまりは「ゼロデイ攻撃」を仕掛けてくる攻撃者の数も多いことである。

脆弱性との正しい付き合い方とは?

では、法人組織は、脆弱性対策をどのように進めればよいのだろうか。

有効な施策の一つは、「効果的かつ効率的な情報収集の方法」と「万が一のリスクを軽減する方法」をあらかじめ組織内で取り決めておくことである。

また、それを行ううえで大切になるのは、脆弱性への「対策」「対処」「対応」の違いをしっかりと認識したうえで、「脆弱性との付き合い方」を整理していくことである。ちなみに脆弱性への「対策」「対処」「対応」を改めてまとめると次のようになる。

対策:インシデント発生前にあらかじめ手を打つこと。
対処:インシデント発生後に問題に対して措置を施すこと。
対応:インシデント発生後に状況に応じた行動をとること。

このうち、脆弱性への「対応」を考える際には、脆弱性リスクを「保有」するという選択肢も踏まえて、どう行動をとるのが適切かを検討することが大切と言える(図3)。

図3:脆弱性への「対応」における「保有」の選択肢


このように言うと「リスクの保有がなぜ必要なのか」と疑問に思う方がいるかもしれない。確かに、本来的にはリスクをゼロにするのが理想と言える。ただし、先にも触れたとおり、IoTの時代では、法人が管理しなければならない機器やソフトウェアが増大し、それに関係する脆弱性情報も膨大な数になる。そうした中で効果的な「対処」を行うには、脆弱性のリスクを「対処すべきリスク」と「保有してもいいリスク」に分けてとらえることが重要になる。実際、先に触れたJVN iPediaに登録されている情報にしても、深刻度レベルが「緊急」に類するものは全体の15%ほどしかない。残る脆弱性については、「保有」の候補となりえるリスクと言えるのである。

このように脆弱性への「対応」を考え、「①収集(情報の収集)」「②判断(対応レベルの判断)」「③対処(リスク処置)」の3つのステップを踏んでいくこと、そして、各ステップの最適化を図ることが脆弱性への「対応策」の基本となる(図4)。

図4:脆弱性対応の3つのステップ

対応ステップを最適化するうえでのポイント

結論から先に言えば、対応策の各ステップを最適化するうえでのポイントは図5に示すとおりとなる。

図5:脆弱性対応の各ステップを最適化するうえでのポイント


この図に示したとおり、情報収集のステップを最適化するうえでは、自社のIT資産が可視化されており、情報の確認対象が確定されていることが前提となる。そのうえで、脆弱性の「深刻度」「緊急度」を測るための情報が収集できるかどうかがポイントとなる。

次のステップである「判断」においては、脆弱性リスクに「対応する/しない」の判断基準がインシデント対応の組織内で共有されていることと、緊急時対応のプロセスがしっかりと確立されていることがポイントとなる。

さらに、「対処」のステップにおいては、リスクの「回避」「低減」「移転」「保有」の4つの対処方法を列挙して俯瞰的にとらえながら、「実行可能/不可能」の軸で、脆弱性に対してどのように対処するかの判断を下すことがポイントとなる。

確定情報を持つベンダーと密接に連携する

いずれにせよ、上記3つのステップのうち「判断」「対処」のステップでは、自社の判断に大きく依存するかたちでモノゴトが決められていく。ゆえに、最初のステップである「収集」をいかに効果的なステップにするかがが重要となり、そのためには、確定脅威情報を持つベンダーとの密接な連携が必須であるほか、信頼できる第三者からの情報提供も有効となる。

トレンドマイクロは、世界最大規模の脆弱性発見コミュニティであり、世界10,000人以上のセキュリティ研究者によって構成される『Zero Day Initiative(ZDI)』を運営している。ZDIでは2019年、CVE番号が適用された脆弱性(1,095件*2)のうち、52%に当たる573件を発見/報告している(図6)。その意味で、ZDIを運営するトレンドマイクロは、業界最多レベルの確定脅威情報を有するセキュリティベンダーと言える。

図6:2019年におけるCVE脆弱性発見・報告のシェア

  • *2 <参考> Quantifying the Public Vulnerability Market - Vulnerability Disclosures, Impact Severity, and Product Analysis(July 2020, Omdia)

IoT時代における脆弱性リスクマネジメントの考え方

本稿の最後として、今日の脆弱性リスク低減への投資をどのように考えるべきかについて触れておきたい。

先に述べたとおり、IoTの時代では法人が管理すべき対象がハイペースで増えていき、脆弱性のリスクが広く分散していく。このような場合、事象発生の不確実性が高まり、セキュリティインシデント発生頻度(発生の蓋然性)と影響度が、地震の発生頻度と大きさのように正規分布を描かず、ベキ分布を描くことになる(図7)。したがって、大規模地震への備えが必要なように、蓋然性(発生する見込み)は低くとも、影響度が大きいリスク──例えば、工場の稼働停止や大規模ランサムウェア被害といった影響度の大きなリスクへの備えが必要になる。それを前提に脆弱性リスクのマネジメントとリスク低減のための投資を行うことが重要となる。

図7:脆弱性によるセキュリティインシデント発生の見込み(蓋然性)と影響度のベキ分布

記事公開日 : 2020.12.21
※ 記載内容は2020年12月現在のものです