企業が抱える脆弱性対応を必要とするアプリは1千以上
現代の企業が保有する、最新の状態に保たなければならないソフトウェアの量は膨大です。セキュリティチームは、毎月、毎週、場合によっては毎日、ソフトウェアの脆弱性対応に追われています。調査機関MuleSoft Researchのレポート「Connectivity Benchmark Report(2023年)」によると、企業は平均で1061種類のアプリケーションを使用しているとされています。多くのソフトウェアベンダーが、月に一度、週に一度、あるいは日に一度修正プログラムをリリースする中、セキュリティチームはいつどの修正プログラムを適用するか戦略的に優先順位をつけることが必要です。では、その優先順位はどのように評価、決定すればよいのでしょうか。
脆弱性対応の優先度は深刻度だけで決められるか
セキュリティチームは、膨大な修正プログラムの対応だけでなく、修正プログラム適用に要する時間と人的リソースも考慮する必要があります。多くの場合、修正プログラムの適用には機器や端末のダウンタイムが伴い、IT資産の利用に影響を及ぼし、従業員の生産性を阻害する可能性があります。どの脆弱性対応が必須で、どれが待機できるか判断することが重要です。
脆弱性対応の決定する一般的な評価基準は、脆弱性の「深刻度」に基づいており、各脆弱性には0から10までのスコアで評価されます。客観的な評価方法ですが、十分ではありません。
例えば、スケールで9.8と非常に重要な評価を受ける脆弱性であっても、攻撃が高コストまたは複雑すぎるために、悪用される可能性が低い場合があります。一方で、深刻度が低い攻撃タイプでも、すでに実際に使われており、組織にとって実際の脅威となっている場合もあります。重要度ランキングに頼ることは、ゴジラのような架空の怪物から都市を守る準備をしながら、洪水や山火事といった現実のリスクを無視するようなものです。
修正プログラムを適用する際の意思決定において、最も必要なのはコンテキスト(文脈)です。
脆弱性対応の優先度決定に有効な4つの質問
優先順位を決めるコンテキストは企業によって異なりますが、組織への脆弱性の真のセキュリティリスクを評価するために、役立つ共通の4つの質問があります。
1. 脆弱性は組織で使用されているアプリケーションシステムに関連していますか?
年間に数万にも及ぶCVEがリリースされている今、自社のITのエコシステムに関連するものに焦点を当てるべきです。この際、レガシーのアプリケーションやネットワーク、システム、デバイス、サーバーを見落とさないでください。
2. 脆弱性はすでに攻撃で悪用されていますか?
米国セキュリティ機関CISAが公開している「Known Exploited Vulnerabilities」(既知の悪用されている脆弱性)の一覧を活用してください(一部のセキュリティツールにはこの機能が組み込まれています)。このリストに該当する脆弱性があるならば、修正プログラムを直ちに適用すべきです。一覧は随時アップデートされるためRSSフィードを登録するなどして、最新情報を入手できるようにしておくことをおすすめします。
3. 脆弱性を悪用するための概念実証(POC)が確認されていますか?
POCがあるということは、サイバー犯罪者がゼロから独自で脆弱性悪用ツールを開発する必要がなく、POCを基盤として構築できることを意味します。つまり、POCはサイバー攻撃の実現可能性を高めるため、POCが存在する場合は早めの修正プログラム適用が賢明です。
4. 脆弱性の悪用で攻撃者は何ができるようになりますか?
例えば、権限が最小限の孤立したシステムのみにアクセスを提供するソフトウェアの場合、脆弱性が悪用されても被害のリスクは比較的低いと考えられます。一方、攻撃者に管理者権限とシステムやコードへのリモートコントロールを与える場合は、修正プログラムをすぐに適用すべきです。
これらの質問と、企業とそのビジネスに固有の考慮事項と組み合わせることで、より実践的、戦略的なセキュリティリスク評価を得ることができ、脆弱性対応に関する意思決定の指針とすることができます。
戦略的なセキュリティリスクマネジメントを支援するアプローチ「ASRM」
戦略的な脆弱性管理の鍵は、重要度スコアリングを超え、ビジネスのニーズや現実の脅威に基づいたセキュリティリスク評価にあります。これにより、どの修正プログラムを優先的に適用するべきか、適切に判断できるようになります。
こうした対応を組織全体のITシステムにおけるセキュリティリスクの評価に適用していくための最初のステップは、ITエコシステム(すべてのデバイスとその上で動作するソフトウェア)の全体像を把握することです。そして、次に必要なのは文脈に基づくリスクベースのアプローチです。ここで活用できるのが、ASRM(Attack Surface Risk Management:アタックサーフェスリスクマネジメント)の考えです。企業の攻撃対象領域(サイバー攻撃を受ける可能性があるデバイスやソフトウェアを)において、セキュリティリスクの特定から評価、緩和までのサイクルをまわしていくことで、企業全体を網羅する戦略的なセキュリティリスクマネジメントを実現しようとするものです。ASRMでは、攻撃対象領域のリスクに応じてビジネスへの影響度を評価するため、優先的にリスクコントロールを施すべき箇所を判断することができます。昨今では、この攻撃対象領域の特定から評価、緩和までをカバーし、ASRMに基づくリスクベースでの意思決定を支援するセキュリティツールも登場し、戦略的なセキュリティリスクマネジメントを推進する環境が整いつつあります。
企業のITインフラがSaaSへ移行すれば、脆弱性対応の負担は確かに軽減します。SaaSベンダーはこのプロセスを全て管理し、脆弱性を発見すれば、クラウドで適用します。アップデートは、すべてのユーザーに自動的に反映されるため、企業が修正プログラムを適用する必要はなくなります。しかし、注意も必要です。企業の環境によっては、修正プログラムが、システムの動作に影響が発生する可能性もあり、24時間365日稼働するビジネスにとっては重大な問題となることがあります。企業は、SaaSサービスを利用する際には、ソフトウェアの以前のバージョンへのロールバックの可能性についてベンダーに相談すべきです。また、2021年のSolarWinds侵害事例のように、意図せず配布されたアップデートを通じてマルウェアが拡散することがあるため、アップデートの管理やロールバックの仕様は特に重要になる可能性があります。
本記事は、2023年10月24日に、USで公開された記事Security Patch Management Strengthens Ransomware Defenseの抄訳です。
Security GO新着記事
アテンション・エコノミーとは?事例や弊害について解説
(2024年9月19日)
法人組織におけるiPhone利用時のセキュリティリスクを解説
(2024年9月18日)
生成AIのビジネス活用と考慮すべきリスク
(2024年9月17日)