脆弱性の“爆増”が止まらない、悪用も約3倍に増加 対処法はあるか？：Cybersecurity Dive

信用格付機関のS＆Pは数千社の企業を分析し、2023年に脆弱性の悪用が約3倍に増加したと伝えた。脆弱性の数自体も増大し続けており、企業には急ぎ対処が求められている。

[David Jones，Cybersecurity Dive]

　信用格付機関であるS＆P Global Ratings（以下、S＆P）は（注1）、2024年10月28日（現地時間）に発表した報告書の中で「企業におけるソフトウェアの脆弱（ぜいじゃく）性管理の不備は、サイバーセキュリティガバナンスの全体的な不備の指標となり得る」と述べた。

脆弱性の“爆増”が止まらない　悪用は約3倍に増加

　S＆Pによると、脆弱性の特定と是正に失敗した企業は、リスク管理と内部統制の全体的な水準を評価される際に責任を問われる可能性があるという。

　同報告書は、2024年版の「Verizon Data Breach Investigations Report」のデータを引用しており（注2）、2023年に脆弱性の悪用が約3倍に増加した旨を指摘している。S＆Pは数千社の企業を分析しており、「サイバーハイジーンの不備は業務の中断や評判の低下、財務への影響などのリスクを企業にもたらす可能性がある」と述べている。

　近年、サイバーセキュリティ業界において、ソフトウェアの脆弱性の特定と是正が緊急の課題となっている。これらの脆弱性はアプリケーションのコードベースに残された欠陥を含んでおり、悪質な攻撃者がコンピュータシステムに不正アクセスできる環境を構築する恐れがある。

　脆弱性管理はランサムウェアやその他の悪質な活動を防止するための重要な課題だ。サイバー保険を提供するCoalitionのデータによると（注3）、脆弱性の数は増加し続けており、2024年には約3万5000件に達すると予想されている。

　S＆Pのアナリストは「これらの脆弱性管理の不備は、当社が監視している企業のセキュリティ管理に関するより大きな問題の兆候となる可能性がある」と語った。

　企業は最も深刻な脆弱性に優先対応し、ソフトウェアを最新の状態に保つよう求められている。これは、脅威グループがパッチが適用されていない古いソフトウェアや過去の脆弱性を狙うケースが増えているためだ（注4）。

　S＆Pのポール・アルバレス氏（リードサイバーエキスパート）は、電子メールで次のように述べた。

　「脆弱性管理プロセスの導入により、サイバーリスクを軽減できる。実際、米国立標準技術研究所（NIST）のサイバーセキュリティフレームワークは、リスク評価プロセスの一環として、存在する可能性のある脆弱性を理解する必要があるとしている」

　連邦機関は、使用するツールの重大な脆弱性を改善するために大規模な取り組みを実施している。2023年に連邦機関は872件の脆弱性を改善した（注5）。これは2022年と比較して78％の増加となった。

（注1）Cyber Risk Insight: Poor Cyber Vulnerability Management Can Be A Governance Issue（S&P Global）
（注2）CVE exploitation nearly tripled in 2023, Verizon finds（Cybersecurity Dive）
（注3）How to manage the rising tide of CVEs（Cybersecurity Dive）
（注4）Hackers exploit CVE in older versions of Ivanti Cloud Service Appliance（Cybersecurity Dive）
（注5）CISA’s vulnerability management program spotted 250 critical CVEs in 2023（Cybersecurity Dive）

原文へのリンク