海の向こうの“セキュリティ”

リスク低減のために脆弱性スキャン実施→対処できているのは深刻度の高いものだけ……という組織が半数

脆弱性管理の実態/プライバシー侵害の恐れがある技術を使用している都市トップ5

脆弱性管理の実態

 脆弱性管理はCSIRTなどのセキュリティ担当者にとって重要な役割の1つですが、その実態について米Tripwireは調査会社Dimensional Researchとともに調査した結果を「Tripwire 2019 Vulnerability Management Survey」として発表しました。調査は2019年5月に340名の情報セキュリティ専門家を対象に行われました。

 今回の調査結果の中でTripwireやメディアが最も注目しているのは、調査対象組織の27%がパッチ未適用の脆弱性が原因で侵害が起きたことがあると回答している点です。なお、対象をヨーロッパに限定すると、この割合は34%となります。

 この4分の1から3分の1程度という数字は一見すると少なめな印象がありますが、フィッシングをはじめとする一般的に脆弱性を使わないソーシャルエンジニアリング攻撃による被害が目立っている現状を考えれば、「さもありなん」と言えるかもしれません。

 脆弱性管理に必要な資産管理について、まず新しいハードウェアやソフトウェアがネットワークに加わった際にどれくらいの時間で検知できるかとの質問に対する回答をまとめたのが以下の図です。計59%が数時間のうちに検知できるとしています。

 一方、自動的に検知できるのはどれくらいの割合か訊ねた結果をまとめたのが以下の図です。半分未満としているのが計35%となっています。

 脆弱性スキャンを実施している組織の割合は88%で、実際に行なっている脆弱性スキャンのタイプを複数回答可で選択してもらった結果をまとめたのが以下の図です。

 また、脆弱性スキャンを実施している頻度をまとめたのが以下の図です。なお、Tripwireは最低でも週に一度はスキャンを実施した方がよいとしています。

 脆弱性管理に対する自組織のアプローチを示す内容を選んでもらった結果は以下の図のようになっています。

 これをヨーロッパと米国/カナダで分けた結果が以下の図です。

 半数の組織が、リスクを減らすために脆弱性スキャンを実施しているものの、深刻度の高い脆弱性以外には対応できていないとしています。また、法令遵守やその他の要件に合わせるためだけに脆弱性スキャンを実施しているとの回答も少なからずあります。

 対処したい脆弱性の全てに対処する上での障害となっているものを複数回答可で選んでもらった結果をまとめたのが以下の図です。8割近くの組織が「人材とプロセス」と回答しています。

 スキャンツールで検知された全ての脆弱性を修正するのにかかる時間を訊ねた結果をまとめたのが以下の図です。およそ4分の3の組織が30日以内に修正するとしています。

 セキュリティパッチを適用するまでにかかる時間を訊ねた結果をまとめたのが以下の図です。6割近くが1週間以内に適用しているそうです。

 今回の調査では、自組織の脆弱性管理についてだけでなく、脆弱性に対応するベンダーに対する考えなどについても調べています。

 脆弱性の開示が原因で当該製品の使用をやめたことがあるかを訊ねた結果をまとめたのが以下の図です。8割が何らかのかたちで「ある」としています。

 脆弱性の発見からパッチのリリースまでにかかる時間として受け入れ可能な長さは以下の図のようになっています。7割近くは1週間以内としています。

 生産や販売を終了した製品に対するパッチの提供をベンダーがやめる時期として妥当(reasonable)なものを訊ねた結果をまとめたのが以下の図です。生産・販売終了後1年から2年との回答が最も多いです。

 調査対象は北米とヨーロッパの組織のようなので、この結果をそのまま日本に適用して比較してよいかは判断の分かれるところでしょうが、自組織の脆弱性管理の改善や見直しの参考資料にはなるでしょう。うまく利用してください。

プライバシー侵害の恐れがある技術を使用している都市トップ5

 公衆保護(public protection)を目的に監視カメラの設置やGPS位置情報の追跡など、さまざまな技術を導入している自治体が当たり前となっているなか、米Webrootは市民のプライバシーを侵害する可能性のある技術を使っている都市トップ5を自社のブログで紹介しています。

1. 中国・北京「Big brother」

 中国全土では1億7000万台以上のCCTVカメラが設置され、強力な顔認識システムと連携することで、わずか7分で個人を見つけ出すことが可能。北京は新しい監視ソフトの試験場としてしばしば使われる。

 北京郊外の亦庄地区(Yizhuang)では2243台以上の高精細セキュリティカメラや277台の車両識別カメラ、267台の顔認識カメラが設置されている。また、モバイルカメラを設置したパトカーが6台導入され、警察官などの取締官は動画撮影装置を装備している。これらのカメラはそれぞれ24時間常にメインのコントロールセンターに生で動画を配信し続けている。

 Webrootは2020年までに中国全土に導入される予定の「社会信用システム」の危うさについても言及。

2. ロシア・モスクワ「Always watching」

 モスクワには17万台以上のカメラが設置されており、ロシアで最も監視されている都市となっている。顔認識システムと連携し、容疑者を見つけ出すことが可能だが、この「容疑者(person of interest)の定義はやや漠然としており、実際にモスクワ当局は「債務者(debtor)の動きを追跡できる」ことを認めている。なお、追跡した債務者の数や彼らの債務の深刻度については明らかになっていない。

3. オーストラリア・ダーウィン「Mass monitoring」

 中国で使われている技術と同様の監視システムを試験的に導入している。市内での人々の移動や携帯電話の利用、ウェブのトラフィック、モバイルアプリの利用なども追跡している。これらの情報は地元のビジネスを支援するためだけに使われる。

4. 米国・ニューヨーク市「I spy」

 警察力をアシストするための一環として、ニューヨーク市は中国で使われている監視ツールと同じものを導入するために世界最大の監視技術企業である中国のHIKVISIONに頼っている。2014年以来、数千台の監視カメラが稼働しており、北京の法執行機関が個人を発見・追跡するのに使用している顔認識システムと同じものを使用。ニューヨーク市警察はこの監視ネットワークに直接アクセスしている。監視の詳細な範囲は不明だが、報告書によれば「大規模(large scale)」であるとのこと。

5. 米国・ヒルズボロ「Small-town surveillance」

 オレゴン州ヒルズボロは人口10万強の小さな町だが、管轄のオレゴン州ワシントン郡保安官事務所は、Amazon社のAI技術を使った顔認識ツール「Rekognition」を使用する、米国初の法執行機関となった。しかし、この技術は不完全であり、誤認逮捕につながるとの専門家の指摘がある。

 Webrootはブログの最後で、今回挙げたような何らかの強い権限のある組織による監視に対して暗号化でプライバシーを完全に保護することは難しいが、それでも不可能に近づけることはできるので、強力な暗号化技術を使ったメッセージサービスや信頼できるVPNなどを使った方が良いとしています。

 今回は特徴的な5つの都市が挙げられていますが、実際にはこの5都市に限った話ではありませんし、ここで紹介された内容をどこまで現実的なリスクと捉えるかは考え方次第です。少々煽り気味の報道などに踊らされることなく、冷静に受け止めてください。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。