セキュリティ対策に自信があるITセキュリティ担当者・役員が少なくないとの調査結果　ほか

セキュリティ対策に自信があるITセキュリティ担当者・役員が少なくないとの調査結果

　米セキュリティ企業CyberArkは、北米、ヨーロッパ、アジア太平洋地域の673人のITセキュリティ担当およびCレベルの役員（CEO、CIO、CSO）に対して行った、セキュリティに関するインタビューの結果を公開しました。

　インタビューで本当に「本音」を語っているとは限りませんし、「立場上そう答えざるを得ない」という場合も容易に想像できるため、今回の結果をそのまま鵜呑みにしてはいけないと思いますが、セキュリティに関して経営層がどのように考えているかを示す参考資料として、あまり深刻にとらえずに読めば良いレポートでしょう。

　まず、エグゼクティブサマリーとしてまとめられているのは以下の3点です。

1）最も軽減するのが難しいセキュリティ課題として、61％の回答者が特権アカウントの乗っ取りと回答。昨年の44％より大幅に増加（図2参照）。

図2

2）38％の回答者が管理者権限の窃取を最大の懸念事項と回答（図1参照）。

図1

3）上記のように回答している一方で、自動化された特権アカウント管理システムを導入している例は半数に過ぎない。

　CyberArkという会社は、アカウント管理、特に特権アカウントの管理に特化したサービスを提供している企業であるため、結果をこのようにまとめるのは当然ですので、これらの3点は「へぇ、そうなんだ」くらいの気持ちで受け止めればいいでしょう。今回は、エグゼクティブサマリーで触れられていない点を紹介します。

この調査結果で興味を惹かれたのは、自らのセキュリティ対策に自信を持っている人が少なくないという点です。

まず、回答者の44％が、攻撃者によるネットワークへの侵入を防げると信じているそうです。また、データ侵害が発生しても数日以内に検知できると回答しているのが55％、中でも数時間で検知可能としているのは25％、数分で検知可能としているのは11％もいるのです（図3参照）。

図3

　立場上、自信があるように見せる必要があったのかもしれませんが、このような自信満々の回答をした人は、Verizonの「データ漏洩／侵害調査報告書」など、数多くのセキュリティ関連の調査報告書が示すように、データ侵害をはじめとするセキュリティインシデントの多くが自ら検知できず、外部からの通報で認知されるという事実を知らないか、知っていても無視している、もしくは「自分のところだけは大丈夫」との思い込みがあるのではないかと心配になります。自信を持つこと自体は悪いことではないですが、それが「過信」となり、外部からの通報があることを全く想定できていないとすれば、それは対応の遅れ、ひいては被害の拡大につながる可能性が極めて高くなります。「過信」でないことを祈るばかりです。

　ちなみに、この「自信満々ぶり」と関連して、「自社のCEOや役員は、サイバーセキュリティ戦略に関してしっかりとしたリーダーシップを発揮しているか」との問いに「Yes」と回答した割合は57％となっています。

　データ侵害の一番の要因は何かとの問いに対する回答をまとめたのが図7です。

図7

　従業員の責任とする回答が半数近くに及んでいるのは（残念ではあるものの）「さもありなん」と思いますが、それでも「真に巧妙な」標的型攻撃を防ぐことを個々の従業員の責任とするのは無茶な話です。その一方で、2番目に多い「攻撃が技術的に洗練されているから」についても、さほど巧妙でない攻撃であるにもかかわらず、防げなかった理由を攻撃が巧妙だからと「言い訳する」奇妙なケースもあるようです。いずれにせよ、セキュリティ上の失敗を単に従業員の責任にしたり、攻撃が巧妙だからとしたりとするなど、安易に結論付けるのは適切とは言えないでしょう。

　繰り返しになりますが、インタビューという形での調査である以上、回答者が実際以上に「格好をつけた」回答をしている可能性を否定することはできません。それでも、かねてより指摘されている「自分のところは大丈夫」という過信や思い込み（と断定はできないものの）を垣間見ることができたという意味では「面白い」調査結果でした。

ゼロデイ攻撃と脆弱性情報にまつわるいろいろ

　ソフトウェアの開発元からパッチ（修正プログラム等）が公開されていない脆弱性を悪用した、いわゆる「ゼロデイ攻撃」は、防御が基本的に不可能、または極めて困難な攻撃として、インターネットセキュリティを考える上で最大の脅威の1つとされています。今回はこの「ゼロデイ攻撃」と脆弱性情報の取り扱いに関する「歴史」を振り返るとともに最近の動向を紹介します。

　「ゼロデイ攻撃」が起きないようにするためには、発見された脆弱性情報を、悪用される前に当該ソフトウェアの開発元に渡し、パッチの準備ができた段階でパッチと同時に情報を公開することが求められます。このような脆弱性情報の取り扱いは古くから行われており、米国CERT/CCをはじめとする一部の海外の公的機関は、受け付けた脆弱性情報を当該ベンダーと調整した上で情報公開していましたし、日本でもJPCERT/CCがCERT/CCなどの海外の関係機関と連携して国内ベンダーとの調整を行っていました。そのような中、日本ではJPCERT/CCが行っていた調整活動を公式に制度化、2004年7月7日に経済産業省が公示した「ソフトウェア等脆弱性関連情報取扱基準」において、情報処理推進機構（IPA）が情報の受け付け機関に、そしてJPCERT/CCがベンダーとの調整機関として指定され、以来10年以上にわたって運用されています。この制度は、それ以前に国内外で行われていた調整活動とは異なり、お役所による「お墨付き」のあるものとして、当時は国際的にも画期的な取り組みとして注目されました。

　CERT/CCやJPCERT/CCなどが行ってきた脆弱性情報の流通に際しては金銭が絡むことはなく、脆弱性情報を発見または届け出た人たちにとってのインセンティブは情報公開時の謝辞と名前の公表（希望者のみ）という「名誉」だけです。これに対し、韓国では2012年10月からソフトウェアの脆弱性情報を届け出た人に報奨金を支給する制度を導入しており、2015年8月までの間に計698件を受け付け、そのうち407件に報奨金を支給しています。

　このような公的な枠組みとは別に、脆弱性情報を売買する市場がかなり前から存在しており、売買を仲介する「ブローカー」もいます。最近では、今年の7月に発覚した、イタリアのセキュリティ企業「Hacking Team」が自社の監視ソフトウェア等に使用するために未公開の脆弱性情報を買い取っていた件は、買取金額まで公になったこともあり、世界中の注目を集めました。他にも政府機関やそれに関連する組織が諜報活動に使うことを目的に買い取るケースも珍しくありません。むしろ未公開の脆弱性情報を高い金額を出してまでして購入するのは、金銭目的の犯罪者ではなく（未公開の脆弱性を悪用しなくても十分に儲けられるので）、「金に糸目をつけない」政府機関やそれと繋がる組織や企業であるとも言われています。

　また、MicrosoftやGoogleなど一部の大手IT企業が自社の製品やサービスの脆弱性を発見・報告した人に報奨金を支払うプログラムを行っていますし、CTFなどのいわゆる「クラッキングコンテスト」などを通じて未公開の脆弱性を買い取り、ベンダーに渡してパッチの作成を促す活動も行われるようになってきています。日本でもサイボウズが2014年6月から脆弱性報奨金制度を始めています。

　このように脆弱性情報にはさまざまな流通経路があり、その上で悪用を防ぐには当該ベンダーが脆弱性情報を適切な価格で買い取るのが最善であるとの意見もありますが、現実問題としてすべてのベンダーが「適切な金額」を払えるとは限りませんし、ボランティアによって開発されているようなオープンソースのソフトウェアについては、Zero Day Initiativeのような特定ベンダーによらない形で脆弱性情報の発見や開発元によるパッチ作成を促進する活動もありますが、基本的には無理でしょう。そのような中、韓国では国内の民間企業に既存の報奨金制度に加わってもらうことで制度を金銭的な面でも充実化すべきとの議論が起き始めています。

　これらの動きとは別に、脆弱性情報やそれを悪用する手法が「兵器」に当たるとして、通常兵器の輸出管理に関する国際的な申し合わせである「ワッセナーアレンジメント」との関係も取りざたされていますし、他にも、脆弱性を見つける行為自体を禁止すべきとの意見すら出てきています。

　脆弱性情報の取り扱いはどうあるべきか、今、国際的にもさまざまな議論があります。日本でも10年以上にわたって運用して来た制度を今のまま継続することが本当に良いのか、韓国のように報奨金制度を導入すべきか、それとも全く違った新たなやり方を模索すべきか、国内外の関係者間での議論が必要だと考えます。