脆弱性対応と社長命令の板挟み――情シスに明日はくるのか？：「Security Week 2023 春」開催レポート（1/2 ページ）

サイバー攻撃が激しさを増す中、自社に影響を与える可能性がある脆弱性に対して適切に対処するにはどうすればいいのだろうか。クイズ形式でこれを学んでみよう。

[高橋睦美，ITmedia]

　サイバー攻撃が激化する昨今、自社のシステムに深刻な脆弱（ぜいじゃく）性が発覚したら速やかに対処することが企業には求められる。しかし社内体制やルール、システム環境などさまざまな要因からそう簡単にいかないのが実情だ。

　アイティメディア主催のオンラインイベント「ITmedia Security Week 2023 春」で、Armorisのマネジャーであり、金融ISACの事務局でも活動する宮内雄太氏が登壇。「クイズ！ この状況で、あなたならどうする？〜脆弱性対応編〜」と題し、インシデントの再現動画を基にしたクイズ形式のセキュリティ演習から、参加者一人一人に「もしもあなたならどうする？」と呼びかけた。

インシデント対応に「正解」なし　演習で「考える力」を学ぼう

　宮内氏は、金融業界のサイバーセキュリティにおける「共助」の実現に向けて活動しているコミュニティーである金融ISACと、サイバーセキュリティ関連のトレーニングサービスを提供するArmoris、そして東京電機大学の研究員と三足の草鞋（わらじ）を履いて活動し、サイバーセキュリティを「自分ごと」として考えられるような、さまざまな工夫を凝らした演習を実施してきた。

　その一つが今回のセッションでも実施した、動画を生かした机上演習だ。架空の会社における架空の、しかしいかにも「あるある」なインシデントを再現した動画を視聴し、「もしもこの場に自分がいたらどうするだろうか」を考え、画面に表示された選択肢の中から複数回答で選ぶユニークな演習だ。

　宮内氏は「もちろんインシデント対応に正解はありません。それが正解だったかどうかはインシデント対応が全て終わった後に決まるものです。ただし、自分の頭で対応策を真剣に考えたり、他の回答から自分の頭にそれまでなかった考え方を学んだりすることで、いざ深刻な事態に直面したときに適切に行動したり、現状のプロセスや体制改善につなげたりできるようになります」と話す。

脆弱性対応　「スピード」と「正確さ」どちらを優先すべきか？

　では1つ目のシナリオを紹介しよう。最初のシーンはある情報システム部のセキュリティチームの日常風景から始まった。

　このチームは、日頃から「Twitter」などのSNSを監視し、脆弱性に関する情報を収集している。ある日、担当者がリモートからのコード実行（RCE）が可能な、つまり遠隔操作が可能になる深刻な脆弱性情報が流通していることを発見した。もしこの情報が確かならば、自社のシステムがサイバー攻撃を受ける恐れがある。しかしその旨を部長に伝えたところ、「誤報の可能性もある。まだ公的機関から何も情報が出ていないのであれば、急いで対応する必要はないのではないか」と言われてしまった――という場面だ。

1つ目のシナリオイメージ。あなたならどうするか（出典：宮内氏の講演資料）

　これに対して宮内氏が用意した選択肢は以下の5つだ。

• A：部長の指示通り公的機関からの情報を待つ
• B：脆弱性について詳細な情報を調べる
• C：速やかにパッチやワークアラウンド、緩和策の適用を始める
• D：自社が保有する資産の中で、脆弱性の影響を受けるものを調べる
• E：その他

　今回のセッション中に、リアルタイムアンケート機能で集計したところ、最も多いのは「D」となった。またBを挙げる参加者も多く、どちらも8割程度が選択した。一方、AやCという回答は10％程度と少ない結果となった。

　この結果を受けて宮内氏は「多くの方がBと答えた通り、まずは事実を確認して脆弱性について詳細な情報を調べることは大事だと思います」と述べ、何らかの対応を取るにしても、まずは脆弱性の特性や想定される影響といった詳細な情報を把握することが重要だとした。

　また、Dが多かった点についても「そもそも自分たちが、脆弱性の影響を受けるような資産を持っているかどうか、その資産はどのくらい重要なのかが分からなければ、対応方針も決められません。ここから始めることも大変大事です」とコメントした。

　このシーンは、インシデント対応における「検知」を再現したものだ。セキュリティチームの日頃の活動として、Twitterなどを検索し、脆弱性情報を収集する活動は非常に重要だ。「深刻そうな脆弱性情報を早期にキャッチできれば、その後、迅速な初動対応につなげられ、さらにもしかしたらインシデントの発生を未然に防げるかもしれません」（宮内氏）。

　脆弱性情報の収集には、情報が入ってくるのを待つ「受動的な情報収集」と、自ら情報を集める「能動的な情報収集」という2つのパターンがある。ただ、もし深刻な脆弱性情報が公表された場合、攻撃者は待ってはくれない。従って「自分から情報を取りにいき、評価して対応することが非常に重要です」（宮内氏）。

　ただ、脆弱性に関する情報が出てくるタイミングはまちまちで、時に情報が錯綜することもある。宮内氏は、世界を騒がせた「Log4Shell」の脆弱性を例に挙げ、SNSや新聞などの一般報道、情報処理推進機構（IPA）などの公的機関の情報という媒体の違いによって、情報の粒度や内容、出てくるタイミングが異なることを示した。

　一般向けの報道は非常に広い範囲に伝わるが、どうしてもサマリー的な情報になる。対して公的機関による注意喚起は、具体的にどう対応すべきかについての記述もある、といった具合だ。

　「どういった媒体にどういった情報が載るのか、それぞれ特徴があります。そうした特徴を踏まえて情報収集や評価する方がいいでしょう」（宮内氏）。サイバーセキュリティの世界においては数日、時には数時間の差が大きな影響を与えることもあるため、できるだけ早く情報を入手し、対応を始める方が望ましい。宮内氏は「できるだけ早く正確な情報を入手して対応につなげることが、脆弱性対応の中で、特に初動において非常に重要だと思います」と話す。

　脆弱性情報の公開直後にはさまざまな情報が流通し、中には不正確な情報が含まれるケースもある。もちろん前述の通り速報性も無視できないため、「情報を集める側としては、複数の情報を参照しながら自分で判断していくのが非常に大事なのかなと思います」と宮内氏は述べた。