脆弱性対応の“解像度”を高めよ アップデートだけでは全然足りない理由：「Security Week 2023 春」開催レポート（1/2 ページ）

「脆弱性対応＝セキュリティアップデートを適用するだけ」という理解は少し解像度が低過ぎるかもしれない。岡田 良太郎氏がそもそも脆弱性対応とは何をどうすることなのか、近年注目のキーワード「SBOM」の意義とは何かなどを語った。

[高橋睦美，ITmedia]

　「脆弱（ぜいじゃく）性対策、やっていますか」と聞かれたら「ちゃんとやっています」「当たり前のことはやっていますよ」と答える方が大半だろう。しかし実のところ、盛んに使われている割には「脆弱性」や「脆弱性対策」という言葉の“解像度”は使う人によってまちまちだ。ではこれの何が問題なのか。

　アイティメディア主催のオンラインイベント「ITmedia Security Week 2023 春」にアスタリスク・リサーチの岡田 良太郎氏（代表取締役　エグゼクティブ アドバイザ）が登壇。「今から取り組む企業のための脆弱性対応〜大丈夫、みんなよく分かっていないから〜」と題する講演で、脆弱性対策用のソリューションを有効活用するためには、脆弱性の“解像度”を高めることが非常に重要だと力説した。

脆弱性とは「傷」ではなく「傷つきやすい状態」

　そもそも「脆弱性」とは何か。最近でこそ、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）をはじめとする政府機関の注意喚起やセキュリティインシデントに関するニュースで取り上げられるようになり、「きじゃくせい」と呼ばれることはなくなったが、まだピンとくる説明は少ない。

アスタリスク・リサーチの岡田 良太郎氏

　岡田氏はあらためて辞書の定義に立ち返り、「脆弱性には『傷つけられやすい状態』という定義があります。すでに傷が付いているというよりも、ある『弱さ』が属性としてあり、そこを突かれると予想以上に破壊的な影響があるということを脆弱性と言うのだと思います」と話す。

脆弱性とは「傷」ではなく「傷つきやすい状態」だ（出典：岡田氏の講演資料）

　「手足であれば、殴られると痛みは感じるものの全身にダメージが生じるわけではありません。しかし顔や頭に同じ圧を受けたとしたら、大きな影響が生じる恐れがあるでしょう。もともとかよわく、かつ攻撃に弱いため、被害を受けると予想以上に破壊的な影響を受けてしまう、それを脆弱性と呼ぶわけです」（岡田氏）。

　これをITシステムの世界に適用すると、「特に弱い状態になっていて、攻撃を受けるとシステム全体に破壊的な影響を受けたり、予想以上に影響が長引いたりすること」（岡田氏）が、脆弱性ということになる。

ソフトウェア化された世界ではアップデートだけが脆弱性対策ではない

　ITシステムが非常に複雑化した今、スマートフォンやスマートスピーカーが当たり前のように生活空間の中にあり、われわれが意識せずともさまざまなデバイスやソフトウェアが動いている。また、今やクラウドプラットフォームを抜きにしたIT社会は考えられず、アプリケーションよりも下位のレイヤーを意識することなく、クラウドで動作するさまざまなアプリケーションを活用するのが当たり前となった。

　「私たちの周りではさまざまなデバイスやソフトウェアが動いており、何らかの侵入経路や悪用シナリオは無限に考えられます。その中で、便利だけれども堅牢（けんろう）、脆弱ではない状態を作り出すために、多くの人が努力し、改善に改善を重ねています」（岡田氏）

　それらのデバイスは、あらゆるものが「ソフトウェア化」されている。外見はこれまで同様のハードウェアに見えても、中はほぼ100％ソフトウェアでコントロールされており、ネットワーク制御も同様だ。だからこそ、「ゼロトラスト」と呼ばれるような、アクセスするユーザーごとに動的に制御を行う仕組みも、物理的な作業を実施しなくても実現できるようになっている。

　こうした状況を踏まえて岡田氏は、「私たちにとって脆弱性対策と言うと、一般的には『アップデートすること』なんだろうと思います」と述べた。

　PCはもちろん、スマートフォンやアプリケーションソフトウェア、さらにはネットワークデバイスもフルスタックのソフトウェアで構成されており、メーカーから提供されるアップデートを適用することで脆弱性が改善される仕組みだ。従って「脆弱性対応はできていますか」と聞かれたら、「はい、最新のアップデートを適用しているのでちゃんとやっています」と答えるケースが多いわけだ。ここではアップデートという作業を、脆弱性対応の一種の代理変数として捉えていることになる。

　しかし岡田氏は、「一口にシステムの脆弱性と言っても、いろいろなところに起こり得ます。従って、脆弱性対応はとにかくアップデートを当てればいい、というものではありません」と指摘する。

　最近では「システム」と言ったとき、昔ながらのオンプレミスにある業務アプリケーションではなく、SaaS（Software as a Service）などのクラウドサービスを指すことも多い。加えて、サービスに少し手を加え、自社に適したコードを書いたり、既存の認証システムと連携させたりして何らかの形でカスタマイズを加えて業務に利用することも増えた。

　この場合、脆弱性対応は何となく「サービス側でやってくれるもの」であり、自社で積極的に実施するものではないというイメージをもたれがちだ。しかし、先ほど岡田氏が紹介した「悪用されると大きなダメージがある弱点」という「脆弱性」の意味合いに立ち返ると、この環境においては、アップデートを怠ることだけが脆弱性ではない。サービスの「使い方」や「設定」「設計」に問題があればそのシステムは脆弱となるし、情報漏えいにつながるような人の不注意や不適切な「使い方」もまた、システムの脆弱性であると言えるはずだ。

　岡田氏がコントリビュートしている「OWASP TOP 10」の最新のリストでも、アクセス制御の失敗や暗号化、インジェクションと言ったコーディング上の問題、技術的な問題と並んで、5位に「設定ミス」が挙げられている。また、アップデートされずに放置された「脆弱で古いコンポーネント」や「安全が確認されない不安な設計」もシステムの問題を引き起こす原因とされている。

　岡田氏は「アップデートは非常に重要ですが、アップデートだけで脆弱性の問題は解決されるかというとそうではありません」と述べる。自分たちが作ったソースコードに含まれる問題や設定、使い方にも脆弱性はあり、バージョン情報だけ見ていれば問題ないといった単純な話ではない、というわけだ。