日本の組織が、いま脆弱性に注視すべき背景
脆弱性管理に関して、サイバーセキュリティ部門であれIT運用部門であれ、定期的に対応しなければいけないNデイ脆弱性と突然現れるゼロデイ脆弱性の対処と対応が、絶え間なく繰り返されています。特に端末環境の変化は大きく、IT担当者にとって労力は増加する一方です。
注視すべき脆弱性が過去最高に
NIST National Vulnerability Database(NVD)を見ると、2021年に公開されたCVEは20,136件で、5年連続で過去最高を更新しました。深刻度の高いバグの数は若干減少したものの、決して油断はできない状況であることは確かです。週末や休日関係なく、1日平均55件以上の脆弱性が公開されており、IT・セキュリティチームの作業負担はかつてないほど大きくなっています。そして2022年は、少なくとも昨年の数字に匹敵する勢いで脆弱性が発見されています。
CVSS Severity Distribution Over Time (URL: https://nvd.nist.gov/general/visualizations/vulnerability-visualizations/cvss-severity-distribution-over-time)
野放しにされている日本国内の脆弱性
タニウムでは公開情報を使い、2021年12月インターネット上に存在する脆弱性を持つ端末調査を実施しました。対象はインターネットに接続し、Microsoft Windowsとウェブサーバーソフト Apacheを使ってホームページなどを運営する世界中のサーバー・パソコンです。サイバー攻撃を受ける恐れのあるソフトの深刻な脆弱性12項目について調べた結果、所在国別にみると、米国が351万台と首位でした。日本は約88万台とドイツ約93万台に次いで3位だったことが分かりました。
またWindowsにフォーカスして脆弱性を調査した結果では、各国のWindows端末における脆弱性該当端末を調査すると、日本は 約30%と最多の脆弱性保持比率という結果になりました。
インターネットに接続した端末が脆弱性を保持している場合、外部から脆弱性を突かれるケースは非常に影響が大きくなります。特に Windowsの場合は、過去に大きな被害をもたらした身代金要求型マルウェア「WannaCry(ワナクライ)」もこうしたインターネットに接続した端末を足がかりに、組織の内部に展開されていった経緯があります。
また最近では Log4j脆弱性も同様に外部から脆弱性を突かれてしまうことで大きな被害につながる可能性が高く、注目されています。いずれにせよ脆弱性の封じ込めは日本国内においては急務といえます。
今回の調査はインターネットに接続した端末を対象としていますが、社内ネットワークにおける脆弱性は、厳格な脆弱性管理を行っていない限りは、確実に状況は悪いだろうと考えられます。加えてリモートワークや在宅環境が一般化した現在では、脆弱性管理に着目しないわけにはいきませんが、実際に脆弱性管理がどこまで普及しているのか未知数といえます。
何を頼りに脆弱性管理を行うか
日々増え続ける脆弱性の量と重要度が大きくなっていることと、日本国内に脆弱性が放置され続けている実態に、我々はどう折り合いをつけていけばいいのでしょうか。ビジネスやITにおいて最良の意思決定を行うには、確かなインテリジェンスが必要です。そしてインテリジェンスは、リアルタイムなデータから得られます。
リアルタイムなだけでなく加えて正確なデータは、インシデントレスポンスや危機管理において非常に重要です。データは、重大なインシデントが発生した後の緊迫した数時間から数日間における“北極星”の役割を果たします。もし、リアルタイムで正確なデータを使って、重要な質問に自信を持って答えることができなければ、組織は何も見えなくなってしまうでしょう。データが不足していたり、古かったり、不正確な場合、プレイブックや基礎的なプロセスに従うことは不可能ではないにしても、困難です。
しかし鮮度が高く正確なデータがあれば、ITセキュリティチームはどの範囲においてどの端末を対象として、一時対処や修正を行えばよいか判断できます。そのため、リアルタイムで正確なデータを提供するプラットフォームが、企業にとって非常に重要です。そうでなければ組織やツールの間にギャップ発生し、時間とコストがかかり、危機発生時に後手後手に回る結果を招いてしまいます。
まとめ
緊急度が高い脆弱性も脆弱性総数も年々増え続ける傾向にある中、特に脆弱性が野放しとなっている傾向が高い日本国内において、脆弱性管理は重要な役割を果たすことは間違いありません。とはいえ一足飛びに脆弱性管理が行えるものではなく、まずは可視化した上で優先順位を付けて対処していく必要があります。そのためにも今一度、皆様の組織が脆弱性とどのように付き合っていくか考える良い機会になれば幸いです。
今後、タニウムを使ってどのような脆弱性の可視化から対処まで脆弱性管理が行えるのかご紹介します。
ブログ記事に関してご質問やご要望がございましたらこちらからお問い合わせください。
