重要インフラ組織のサイバー防御に進展 効果を上げるCISAの脆弱性スキャンプログラム:Cybersecurity Dive
CISAは同機関の脆弱性スキャンプログラムに参加した重要インフラを担う組織の数が、2022年以降で約2倍になったと発表した。この取り組みは着々と成果を上げているようだ。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、2025年1月10日(現地時間、以下同)の報告書で「悪用されている脆弱(ぜいじゃく)性に関して、重要インフラを担う組織のリスクを低下させ、修正にかかる時間を短縮する取り組みに進展があった」と発表した(注1)。
効果を上げるCISAの脆弱性スキャンプログラム 参加組織は倍増
CISAの脆弱性スキャンプログラムに参加している重要インフラ組織の数は、この2年間でほぼ倍増し、2024年8月末の時点で7791の組織が参加している。同期間中に、CISAは1199件の脆弱性を、「既知の悪用された脆弱性カタログ」(KEV:Known Exploited Vulnerabilities Catalog)に追加した。
分析期間として定められた2年間において、CISAの脆弱性スキャンプログラムに参加している重要インフラ組織は、修正に必要な平均期間を60日から30日に短縮した。
CISAは「悪用が判明している脆弱性に対して、重要インフラ組織が実施しているインターネット接続システムの積極的な監視を支援する取り組みは、適切な効果を上げている」と述べた。
2022年8月1日〜2024年8月31日までの2年間でサイバー衛生プログラムに参加する組織が増加した旨を報告するCISAのレビューにおいて、既知の脆弱性の軽減を含む6つの重要なサイバーセキュリティパフォーマンス目標において改善が見られた。
また、CISAは「インターネットに悪用可能なサービスが出現することに関する防衛および暗号化の強化、OTに関連する接続のインターネット上での制限、security.txtのファイルや電子メールに関連するセキュリティの展開に向けた進展もあった」と述べている。
CISAは2022年10月にサイバーセキュリティパフォーマンス目標プログラムの下で37の任意目標を策定した(注2)(注3)。同機関は2023年3月にこれらの目標を改訂した(注4)。
2年間で、既知の脆弱性の悪用に重要インフラ組織が対応するための時間とチケットの提出件数は、重大度が「緊急」の脆弱性で50%減少し、重大度が「高」の脆弱性で25%減少した。
この報告書により、CISAの脆弱性スキャンプログラムに参加している組織において、ネットワークに存在する既知の脆弱性の悪用の平均数が継続的に減少していることが明らかになった。分析期間中、大半の組織ではシステム内に存在する既知の脆弱性の悪用件数が平均で0.5件だった。
重要インフラ組織の防御力と準備態勢を強化するためのCISAによる取り組みが成果を上げている一方で、ランサムウェア攻撃の件数は依然として増え続けている(注5)。
関係者が2024年10月に述べたところによると、世界的なランサムウェア攻撃の数は2022年から2023年にかけて74%増加し、2024年は2023年の記録を上回るペースで推移しているという。
ゼロデイ脆弱性は依然として防御側にとって大きな課題であり、2024年に最も頻繁に悪用された脆弱性の大半を占めていた(注6)。
CISAは「医療および公衆衛生、水および排水システム、通信、政府に関連するサービスおよび施設という4つの重要インフラ分野が、当局との連携を通じてサイバー衛生において最も大きなプラスの影響を受けた」と述べた。
(注1)Cybersecurity Performance Goals Adoption Report(CISA)
(注2)Explore CISA’s 37 steps to minimum cybersecurity(Cybersecurity Dive)
(注3)CISA aims for target rich, resource poor sectors in rollout of security basics(Cybersecurity Dive)
(注4)CISA revises cybersecurity performance goals(Cybersecurity Dive)
(注5)Ransomware attacks surge despite international enforcement effort(Cybersecurity Dive)
(注6)Zero-days from top security vendors were most exploited CVEs in 2023(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
5ページだけでも読んで 無料でセキュリティの要点を学べる資料を紹介
世間には多くの役に立つセキュリティのドキュメントが公開されていますが、これらを読了するのは正直に言って骨が折れます。今回は筆者オススメの資料の中から“5ページ”だけに絞って、その魅力を紹介しようと思います。
Googleの認証システムに重大な欠陥 数百万のユーザーに影響する可能性
Googleの「Googleでログイン(Sign in with Google)」認証システムに重大な欠陥が見つかった。この欠陥を悪用すると、SlackやZoomなどのサービスに不正アクセスされる可能性がある。Google Workspaceユーザーは注意してほしい。
注目はパスキーだけじゃない 2025年こそ流行ってほしい3つのセキュリティ技術
2025年が始まりました。相変わらずサイバー攻撃は収まる気配はないので、防御側もしっかりと対策を講じなければなりません。今回は新年1回目ということで、2025年こそ流行ってほしい3つのセキュリティ技術を紹介します。
1万5000台超のFortiGateデバイスの情報が流出 過去のゼロデイを悪用か
サイバー犯罪グループ「Belsen Group」が1万5000台を超えるFortiGateデバイスの設定情報を公開した。CVE-2022-40684を悪用して機密データを窃取し、ユーザー名、パスワード、VPN資格情報などが流出している。