SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Security Online Day 2024 秋の陣

2024年9月25日(水)・26日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day 2023 秋の陣 レポート

アレな3人が注目するドキュメント“BOD”から始める「脆弱性対応」の第一歩

辻伸弘氏、piyokango氏、根岸征史氏による鼎談から、脆弱性対応を考える

 2023年9月26日から2日間にわたり、EnterpriseZine編集部主催のオンラインイベント「Security Online Day 2023 秋の陣」を開催。同イベントのクロージング講演として、セキュリティリサーチャーとして活躍し、ポッドキャスト「セキュリティのアレ」を主宰する辻伸弘氏、piyokango氏、根岸征史氏の3人によるパネルディスカッション「それは見えるのではなく、気付くもの」と題した講演が行われた。ここでは「BOD 22−01」「BOD 23−01」「BOD 23−02」という、重要な示唆に富んだドキュメントが取り上げられ、今私たちができる精一杯の“脆弱性対応”を考えるきっかけとなるようなトークが繰り広げられた。本稿では、その様子をレポートする

“アレ”な3人が注目するドキュメント「BOD」が指し示す方向

 今回のディスカッションでは、登壇者3人がそれぞれ、とあるドキュメント群をもとに議論を重ねていく。そのドキュメントとは「バインディング・オペレーショナル・ディレクティブ(Binding Operational Directive:BOD)」。米国土安全保障省に設置された、米国サイバーセキュリティ・社会基盤安全保障庁(Cybersecurity and Infrastructure Security Agency:CISA)が発表した、“拘束力のある運用指令”と訳されるようなドキュメントだ。まずは「piyolog」の運営を行う、piyokango氏が注目するドキュメントとして『BOD 22-01: Reducing the Significant Risk of Known Exploited Vulnerabilities』を挙げる。

 このドキュメントを簡単に表現すれば「悪用された既知の脆弱性の管理をしっかりせよ」というものだ。piyokango氏は「なぜ、このような当たり前のことをあらためてドキュメントにしたのか。それは、既存の管理方法に限界が見えていたからだろう」と述べる。脆弱性は年に数万個という規模で明らかになっているが、すべてに目を通して判断することは、もはや現実的ではない。加えて、実際に悪用されている脆弱性は全体の4%に満たないことがわかっている。

(左から)SBテクノロジー プリンシパルセキュリティリサーチャー 辻伸弘氏、セキュリティリサーチャー piyokango氏、インターネットイニシアティブ セキュリティ本部 セキュリティ情報統括室長 根岸征史氏
(左から)SBテクノロジー プリンシパルセキュリティリサーチャー 辻伸弘氏
セキュリティリサーチャー piyokango氏
インターネットイニシアティブ セキュリティ本部 セキュリティ情報統括室長 根岸征史氏

 一方、脆弱性の42%は、公表された当日に悪用されているという現状もあり、判断の遅れが致命的になることを示している。判断を下すためには、どのくらい影響を与えるのかを把握することが必要だが、1つひとつの脆弱性における深刻度が低くとも、組み合わせ次第では大きな影響を及ぼしてしまう。この複雑な環境こそが、今私たちが置かれている現状だ。

 そこで、米国政府機関は、今現在脆弱性が悪用されているかという点に着目。実際に悪用が確認できている脆弱性をカタログにし、そのリストをもとに脆弱性管理をすることを進めている。これがCISAが公開している『Known Exploited Vulnerabilities Catalog』(KEV:既知の悪用された脆弱性カタログ)だ。

 piyokango氏は、このカタログを参照することを薦める。カタログに掲載された脆弱性は、米国政府により悪用が確認できているとシンプルに判断ができ、対応がスムーズに進められるからだ。「こうした脆弱性の情報は、それを信じて良いのか、何を基に悪用されたと言っているのかなどの確認が必要だった。米国政府が情報ソースになるため、裏付けはたしかだ。加えて、誰でも見ることができ、誰でも活用できる」と述べる。

 ただし、それは私たちにとって“課題の裏返し”とも言える。KEVに掲載される条件は米国内での悪用を確認したことであり、たとえば日本国内において国産ソフトウェアなどに存在する脆弱性が悪用されてもKEVに掲載される保障はない。そのため、「カタログに掲載されているものがすべてではなく、あくまでもボトムラインとして捉えた上で考えなければいけない」とpiyokango氏は述べる。

 根岸氏と辻氏もKEVの有用性に触れながら「脆弱性はパッチを当てれば終わりではない」と指摘。たとえば脆弱性を悪用された場合、パッチの適用以前に侵入されていないかを確認する必要がある。しかしながら、KEVはあくまで“脆弱性のカタログ”であり、その点に関するアドバイザリがまとめられているわけではないと注意を促す。

 「最近、日本でも被害が多いVPN機器の脆弱性では、認証情報が抜かれて正面から侵入されている。脆弱性の修正だけでは対策が足りない」(根岸氏)

 加えて、根岸氏は「日本版のKEVも欲しい」と話すと「KEVは『当たり前のことをあらためてドキュメントにした』という最低限のことではあるが、私たちを含め、その最低限の対策さえできていない。まずはここから始めていこう」と呼びかける。

「資産の可視化」なくして安全なし

 次に取り上げられたのは、『BOD 23-01: Implementation Guidance for Improving Asset Visibility and Vulnerability Detection on Federal Networks』だ。辻氏は「まずは、保有しているIT資産を可視化し、それらの脆弱性をチェックしましょうということだ」と同ドキュメントの意義をまとめる。「これも言われてみれば当たり前のこと。自分たちが何を使っているのかわかっていなかったり、把握していなかったりすれば、直す・守るというフェーズには移れない」(辻氏)

 また、BOD 23-01には検出・可視化の実施サイクル、「脆弱性の検出は特権資格を用いる」という記載もある。辻氏はこれを「簡単に言えば、『ローカル権限でエージェントを入れるなどし、脆弱性を検出せよ』ということ。これは簡単なことではない」と解説。脆弱性の診断に関しては外部の専門家に依頼することも多いが、同ドキュメントではより厳格に強制している側面が強い。

 また、同様の観点について辻氏は「アタックサーフェスマネジメント」という、よりわかりやすい“バズワード”が登場していると話す。経済産業省からガイダンスも直近公開[1]されており、注目が集まっている。

 なお、辻氏はアタックサーフェスマネジメントを「影響可能なIT資産とその状態を把握すること」と定義。IT資産やアクセス制御、脆弱性を把握する一方、「これは脆弱性診断とは性格が異なる」とも指摘する。脆弱性診断は多くの場合、あらかじめ対象範囲を決めて実施されるが、アタックサーフェスマネジメントでは把握できていないもの、管理されていないものまでも検出対象とするからだ。

 たとえば、BOD 23−01を遵守するような対策を採っておくことで防げたインシデント事例もある。2022年11月に公開された東海国立大学機構におけるインシデント報告書[2]では、ネットワーク機器の設定変更ミスにより、本来公開されていなかったポートが2ヵ月間放置されていたことが原因だとされている。

 辻氏はまた、“攻撃者はインターネットからしかやってこない”という前提での対策では足りず、たとえばインターネットに接続していない社内ネットワーク、支社やサプライヤーを経由した専用線経由でも攻撃は行われる。これらをすべて攻撃対象領域として考えなければいけないと指摘。

 また、BOD 23-01で指示された内容については、「内容を見ても、特に新しいことはない。取り組まないといけないと言われ続けてきたことが強制された」と話す。アタックサーフェスマネジメントとも呼べる包括的な内容であり、IPアドレスが付与されている資産の全てが対象とされている。「アタックサーフェスマネジメントやディスカバリー、攻撃経路が網羅できているのか。スキャニングだけでなく、パッシブなモニタリング、ログ取得を含め出来ることはたくさんあるので今自社に足りないものは何か、これを見直す機会としてほしい」と根岸氏も指摘する。

 「『今さらそんなことをしても』と言われたときが、ちょうど良いスタートライン。『知ってるわ!』という人にもきっと誤解が残っている」(辻氏)

次のページ
簡単そうで抜けも多い? 「管理インターフェース」の罠

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2023 秋の陣 レポート連載記事一覧

もっと読む

この記事の著者

宮田健(ミヤタタケシ)

@IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。
著書に「Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!」(MdN)、「デジタルの...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/18599 2023/10/27 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング