脆弱性対策で現場が疲弊しないために──継続的対処を可能にする、サイバーセキュリティクラウドの解決策

多くのインシデントは脆弱性の対応不足から

　今回登壇した山田氏が所属するサイバーセキュリティクラウドでは、クラウド型WAFの「攻撃遮断くん」や、AWS、Microsoft Azure、Google Cloud PlatformでのWAF運用サービス「WafCharm」、AWS WAFのマネージドルール、さらには脆弱性情報収集・管理ツール「SIDfm」など、多岐にわたるサービスを提供している。

　山田氏は、セキュリティの欠陥として、OSやソフトウェア、ネットワーク機器、特にサードパーティ製品に見られるプログラムの不具合や設計ミス（セキュリティホール）を脆弱性の一例として挙げた。これらの脆弱性は、CVE（Common Vulnerabilities and Exposures：共通脆弱性識別子）としてデータベース化されている。さらにこれらの脆弱性には、その深刻度を示すCVSS（Common Vulnerability Scoring System）スコアが付与され、これに対して適切な対処が必要となってくる。

　山田氏によれば、多くのセキュリティ被害がソフトウェアの脆弱性から生じているとし、情報セキュリティ10大脅威（2023年版、IPA報告）によると上位リスクの半分以上がこれに関連していると指摘した。個人情報漏えいを含む被害の拡大は脆弱性情報管理・対応の不備が一因であり、最近はメディアでも「ネットワーク機器」や「アプリケーションの脆弱性」に言及されることが増え、その重要性が広く認知されつつあるという。

脆弱性情報の収集と対策は継続的に

　脆弱性を取り除き、サイバー脅威に対抗するには、2つのアプローチが必要だ。1つは脆弱性のないシステムを維持すること。そしてもう1つは、新たな脅威に対して継続的に対策を施すことである。

　「ソースコードやハードウェア、ソフトウェアなど、多岐にわたる領域で行われる脆弱性診断は、その時点での脆弱性を検知できますが、日々新たに発生する脆弱性に対しては、診断のタイミングにより見逃す可能性があります。ゆえに、継続的な脆弱性対策が必要となります」（山田氏）

　脆弱性対策は、システムやソフトウェアの潜在的弱点に取り組む活動であり、新たに発見された脆弱性は攻撃者に利用され得る。そのため、セキュリティやインフラの担当者は迅速な対応を要する。この取り組みには、自社に与える影響の評価、対策の優先順位の設定、および具体的な実施計画の立案が含まれる。脆弱性への評価と対策のプロセスは、ワークフローとして定義され、継続的に実施する必要がある。

　山田氏は脆弱性対策実施の重要なポイントとして、情報収集、トリアージ、評価のフローを挙げた。修正プログラムなど、パッチの適用もこれに含まれるが、他の機能への影響や新たな問題の発生リスクなどが存在するため、検証環境を用意し、いつどのように適用するかを明確にするアプローチが必要だ。

　脆弱性情報収集のフローがあったとしても、情報は膨大だ。脆弱性情報の報告は年間で約2万件とされ、1日あたり約50件の新しい情報が出てくるという。それらの情報は日本語化されていないことも多いため、何を優先するべきかの評価に多くの工数がかかってしまう。山田氏は「情報の見落としを心配するインフラ担当の声をよく聞きます」と、問題の根深さを語る。