“アレ”な3人が注目するドキュメント「BOD」が指し示す方向
今回のディスカッションでは、登壇者3人がそれぞれ、とあるドキュメント群をもとに議論を重ねていく。そのドキュメントとは「バインディング・オペレーショナル・ディレクティブ(Binding Operational Directive:BOD)」。米国土安全保障省に設置された、米国サイバーセキュリティ・社会基盤安全保障庁(Cybersecurity and Infrastructure Security Agency:CISA)が発表した、“拘束力のある運用指令”と訳されるようなドキュメントだ。まずは「piyolog」の運営を行う、piyokango氏が注目するドキュメントとして『BOD 22-01: Reducing the Significant Risk of Known Exploited Vulnerabilities』を挙げる。
このドキュメントを簡単に表現すれば「悪用された既知の脆弱性の管理をしっかりせよ」というものだ。piyokango氏は「なぜ、このような当たり前のことをあらためてドキュメントにしたのか。それは、既存の管理方法に限界が見えていたからだろう」と述べる。脆弱性は年に数万個という規模で明らかになっているが、すべてに目を通して判断することは、もはや現実的ではない。加えて、実際に悪用されている脆弱性は全体の4%に満たないことがわかっている。
セキュリティリサーチャー piyokango氏
インターネットイニシアティブ セキュリティ本部 セキュリティ情報統括室長 根岸征史氏
一方、脆弱性の42%は、公表された当日に悪用されているという現状もあり、判断の遅れが致命的になることを示している。判断を下すためには、どのくらい影響を与えるのかを把握することが必要だが、1つひとつの脆弱性における深刻度が低くとも、組み合わせ次第では大きな影響を及ぼしてしまう。この複雑な環境こそが、今私たちが置かれている現状だ。
そこで、米国政府機関は、今現在脆弱性が悪用されているかという点に着目。実際に悪用が確認できている脆弱性をカタログにし、そのリストをもとに脆弱性管理をすることを進めている。これがCISAが公開している『Known Exploited Vulnerabilities Catalog』(KEV:既知の悪用された脆弱性カタログ)だ。
piyokango氏は、このカタログを参照することを薦める。カタログに掲載された脆弱性は、米国政府により悪用が確認できているとシンプルに判断ができ、対応がスムーズに進められるからだ。「こうした脆弱性の情報は、それを信じて良いのか、何を基に悪用されたと言っているのかなどの確認が必要だった。米国政府が情報ソースになるため、裏付けはたしかだ。加えて、誰でも見ることができ、誰でも活用できる」と述べる。
ただし、それは私たちにとって“課題の裏返し”とも言える。KEVに掲載される条件は米国内での悪用を確認したことであり、たとえば日本国内において国産ソフトウェアなどに存在する脆弱性が悪用されてもKEVに掲載される保障はない。そのため、「カタログに掲載されているものがすべてではなく、あくまでもボトムラインとして捉えた上で考えなければいけない」とpiyokango氏は述べる。
根岸氏と辻氏もKEVの有用性に触れながら「脆弱性はパッチを当てれば終わりではない」と指摘。たとえば脆弱性を悪用された場合、パッチの適用以前に侵入されていないかを確認する必要がある。しかしながら、KEVはあくまで“脆弱性のカタログ”であり、その点に関するアドバイザリがまとめられているわけではないと注意を促す。
「最近、日本でも被害が多いVPN機器の脆弱性では、認証情報が抜かれて正面から侵入されている。脆弱性の修正だけでは対策が足りない」(根岸氏)
加えて、根岸氏は「日本版のKEVも欲しい」と話すと「KEVは『当たり前のことをあらためてドキュメントにした』という最低限のことではあるが、私たちを含め、その最低限の対策さえできていない。まずはここから始めていこう」と呼びかける。
「資産の可視化」なくして安全なし
次に取り上げられたのは、『BOD 23-01: Implementation Guidance for Improving Asset Visibility and Vulnerability Detection on Federal Networks』だ。辻氏は「まずは、保有しているIT資産を可視化し、それらの脆弱性をチェックしましょうということだ」と同ドキュメントの意義をまとめる。「これも言われてみれば当たり前のこと。自分たちが何を使っているのかわかっていなかったり、把握していなかったりすれば、直す・守るというフェーズには移れない」(辻氏)
また、BOD 23-01には検出・可視化の実施サイクル、「脆弱性の検出は特権資格を用いる」という記載もある。辻氏はこれを「簡単に言えば、『ローカル権限でエージェントを入れるなどし、脆弱性を検出せよ』ということ。これは簡単なことではない」と解説。脆弱性の診断に関しては外部の専門家に依頼することも多いが、同ドキュメントではより厳格に強制している側面が強い。
また、同様の観点について辻氏は「アタックサーフェスマネジメント」という、よりわかりやすい“バズワード”が登場していると話す。経済産業省からガイダンスも直近公開[1]されており、注目が集まっている。
なお、辻氏はアタックサーフェスマネジメントを「影響可能なIT資産とその状態を把握すること」と定義。IT資産やアクセス制御、脆弱性を把握する一方、「これは脆弱性診断とは性格が異なる」とも指摘する。脆弱性診断は多くの場合、あらかじめ対象範囲を決めて実施されるが、アタックサーフェスマネジメントでは把握できていないもの、管理されていないものまでも検出対象とするからだ。
たとえば、BOD 23−01を遵守するような対策を採っておくことで防げたインシデント事例もある。2022年11月に公開された東海国立大学機構におけるインシデント報告書[2]では、ネットワーク機器の設定変更ミスにより、本来公開されていなかったポートが2ヵ月間放置されていたことが原因だとされている。
辻氏はまた、“攻撃者はインターネットからしかやってこない”という前提での対策では足りず、たとえばインターネットに接続していない社内ネットワーク、支社やサプライヤーを経由した専用線経由でも攻撃は行われる。これらをすべて攻撃対象領域として考えなければいけないと指摘。
また、BOD 23-01で指示された内容については、「内容を見ても、特に新しいことはない。取り組まないといけないと言われ続けてきたことが強制された」と話す。アタックサーフェスマネジメントとも呼べる包括的な内容であり、IPアドレスが付与されている資産の全てが対象とされている。「アタックサーフェスマネジメントやディスカバリー、攻撃経路が網羅できているのか。スキャニングだけでなく、パッシブなモニタリング、ログ取得を含め出来ることはたくさんあるので今自社に足りないものは何か、これを見直す機会としてほしい」と根岸氏も指摘する。
「『今さらそんなことをしても』と言われたときが、ちょうど良いスタートライン。『知ってるわ!』という人にもきっと誤解が残っている」(辻氏)
[1] 「『ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~』を取りまとめました」(2023年5月29日、経済産業省)
[2] 「個人情報の流出の可能性に関するお知らせとお詫び」(2022年11月17日、東海国立大学機構、PDF)
