全て対処するのはムリ 爆増する“CVE”に組織はどう対処すればいいのか?Cybersecurity Dive

Coalitionの2024年のサイバー脅威インデックスレポートによると、共通脆弱性識別子(CVE)の数は2024年に3万4888件に達すると予想されている。脆弱性の数と複雑さが増し、組織はセキュリティ管理と緩和に苦労している。

» 2024年09月28日 07時00分 公開
[Rosalyn PageCybersecurity Dive]

この記事は会員限定です。会員登録すると全てご覧いただけます。

Cybersecurity Dive

 「MOVEit Transfer」や「Apache Log4j」「Citrix NetScaler Application Delivery Controller」に関連したソフトウェアの欠陥は、近年最も注目された脆弱(ぜいじゃく)性だが、これは広範な被害をもたらしている全体の共通脆弱性識別子(CVE)のほんの一部にすぎない。

増加し続けるCVEによって顕在化している組織の課題

 CVEの数は毎年着実に増加しており、SecurityScorecardは2023年に2万9000件の脆弱性を記録し(注1)、2024年は既に2万7500件近くの脆弱性を追跡している。

 サイバーセキュリティ事業を営むCoalitionの2024年のサイバー脅威インデックスレポートによると(注2)、この数は2024年に3万4888件に達すると予想され、25%の増加を示している。これは脆弱性を継続的に管理し、潜在的な攻撃に対する防御を強化するという組織の課題を強調している。

 脆弱性管理調査「SANS 2022」によると(注3)、4分の3の組織が正式な脆弱性管理プログラムを採用しているものの、解決できないバックログやベンダー・オープンソースコミュニティーに修正を依頼する必要がある脆弱性の増加に多くの組織が頭を悩ませている。

 これらの脆弱性によるリスクを軽減するために、組織はCVE管理を効果的に実施するべきだが、多くの組織は新たな脆弱性の絶え間ない流入の中で、最も重要な脅威を特定し、優先順位を付けることの複雑さに直面している。

 セキュリティサービスを提供するBackslash Securityのアミット・ビスムート氏(プロダクト責任者)は「CVEの膨大な数が、全ての潜在的な脆弱性を追跡することを困難にしている」と述べている。

 多くの脆弱性が重大と見なされている中で、最も大きなリスクをもたらすものを見極めるのが課題だ。ビスムート氏によると、その一つの方法は、CVEが自社の環境で悪用される可能性があるかどうかを理解することだという。

 組織は特定のリスクをもたらす脆弱性を優先し、最も危険な脆弱性が迅速に緩和されるようにリソースを集中させる必要がある。

 「コンテキストは、セキュリティチームが全ての問題に対処しようとするのではなく、自分たちの特定の環境に対して最も大きな脅威となる脆弱性に焦点を当てるのに役立つ」(ビスムート氏)

全ての脆弱性に対処するのは“現実的ではない”

 CVEを使用することで、セキュリティチームはさまざまなデータソースに基づいて脆弱性の順位付けをし、脆弱性スキャナーや侵入検知システムを使用して脆弱性を見つけられる。

 セキュリティソリューションを提供するDNSFilterのCTO(最高技術責任者)であり、CVEプログラムの創設メンバーであるティーケー・キーニーニ氏によると(注4)、CVEの識別が正式化される前、セキュリティチームは脆弱性情報を断片的に集めなければならなかったという。

 CVEプログラムは2024年で25年を迎え、国際標準化機構や決済カード業界、ヘルスケア情報トラストアライアンスのセキュリティフレームワークを含む多くのセキュリティ標準における基盤となっている。

 このプログラムは、コンプライアンスやリスク管理、サイバーセキュリティプロトコルに使用され、セキュリティチームが共通の識別子で特定の脆弱性を識別し、参照するために標準化された方法を提供している。

 「これらの異なる視点を取り入れることで、より適切で、実行可能かつ正確なワークフローが生まれる」(キーニーニ氏)

 脆弱性が増加する中で、全てのリスクに対処することは現実的ではない。ランキングは各CVEにリスクの重みを与え、パッチ適用や脆弱性管理の優先順位を付ける上で重要だ。特にCVEの範囲が拡大し続ける中で、これはますます重要なことである。

 キーニーニ氏は新しいコードが導入される度に、新しいCVEが発生する可能性があると指摘している。

 「私たちは静的な空間について伝えているわけではない。そのため、スコアリングが重要で、どのCVEがネットワーク上にあるかを知るために順位付けする必要がある」(キーニーニ氏)

一部の脆弱性情報はダークWebで販売されている

 CVEの数が増加している一方で、それ以上の要素がある。それは1つのCVEが複数のコードに関連するケースが多いということだ。

 セキュリティ事業を営むChainguardのダスティン・カークランド氏(エンジニアリングを担当するバイスプレジデント)は「1つのCVEが、特に広範囲にわたるコードに組み込まれている場合、複数のソフトウェアバージョンやパッケージに影響を与えることがある」と述べた(注5)。

 脆弱性が発見されると、それには追加の情報が付加されるが、それがすぐに攻撃につながるとは限らない。脆弱性がPoC(概念実証)にすぎなかったり、理論的な問題であったりする場合もある。

 「全てのCVEが修正やPoCを伴うわけではなく、実際に悪用される現実的な問題であることを示すものでもない」(カークランド氏)

 修正が必要であれば修正が発行され、またはセキュリティチームやスキャンツールが認識できるように弱点が宣言される。

 スコアリングシステムでは、最も深刻な脆弱性が優先的に対処されるようになり、低リスクのものは修正されるべきだが緊急性が低いものとして扱われる。

 通常の慣習では、CVEは責任を持って開示および識別されるが、一部のCVEはハッカーやサイバー犯罪者によってダークWebで売買されている。

 「地下市場が確かに存在し、そこでは一部の怪しい組織によってゼロデイ脆弱性や未公開の脆弱性の情報が売買されている」(カークランド氏)

 CVEの無力化においてスキャンツールは非常に重要だが、ダッシュボードを定期的に確認して赤から緑に変えるだけの単純なプロセスではない。脆弱性管理は主にコンプライアンスフレームワークに従うことで推進されるが、セキュリティ責任者が単にCVEを全て排除することを目標にしているわけではない。

 「それは通常、ビジネスの目標に結び付いている」とカークランド氏は述べた。

© Industry Dive. All rights reserved.