「CVEのデータだけに頼った脆弱性管理」では不十分

2020年第1四半期の脆弱性情報から分かること

　2020年第1四半期に公になった脆弱性についてまとめた報告書が、米セキュリティ企業のRisk Based Securityから「2020 Q1 Report Vulnerability QuickView」として公開されました。報告書によれば、2020年第1四半期に公開された脆弱性の数は4968件で、1年前の2019年第1四半期の6198件から約19.8％の減少となっています。

（Risk Based Security「2020 Q1 Report Vulnerability QuickView」より）

　この大幅な減少についてRisk Based Securityは慎重な見方をしています。減少の理由としては新型コロナウイルス感染拡大の影響も考えられるものの、正確な判断には少なくともあと1年は必要だろうとしており、これには脆弱性の数え方の問題が関係していると説明しています。

　脆弱性は、あとになって実はだいぶ前に公開されていたことが判明するケースも珍しくなく、例えば、Risk Based Securityの過去のレポートで、2019年は2018年に比べて脆弱性の数が4％減ったと発表していたのが、その後の調査によって2019年に公になっていたことが判明した脆弱性を追加したことで、現時点では1.9％の減少でしかなかったことが分かっています。このようにあとになって追加されるプロセスをRisk Based Securityは「backfilling（埋め戻し）」と読んでいます。このような「埋め戻し」は前四半期だけでなく、前年、さらには10年も遡ることもあるそうです。例えば、2017年第1四半期に公開された脆弱性についてどれだけ「埋め戻し」があったかを示しているのが以下の図です。

（Risk Based Security「2020 Q1 Report Vulnerability QuickView」より）

　2017年末には4440件とされていた脆弱性の数が2018年には815件追加され、5255件となっています。これはおおよそ18％の追加になります。さらに2019年の末には2.2％の追加、そして2020年第1四半期には5422件となっています。

　このような過去の傾向からRisk Based Securityは予測値を計算しており、2019年第1四半期の脆弱性は現時点の6198件から2022年には6432件に増えるだろうとしています。同様に2020年第1四半期の数は4968件から6126件に収束するとみられています。この予測収束値で比較すれば、2019年第1四半期から2020年第1四半期へは5％程度の減少にとどまることになります。

　今回の報告書でRisk Based Securityは、2020年第1四半期の脆弱性が減ったことを前面にアピールしていますし、報告書の内容を紹介するメディアの記事もその点を強調したものになっています。しかし、脆弱性の数が減少したことよりも、重要かつ深刻な点が今回の報告書にはあるのです。

　2020年第1四半期に公になった4968件の脆弱性を「遠隔から悪用可能である（Remote）」「攻撃手法が公開されている（Public exploit）」「CVEに詳細情報がない（No CVE detail）」の3つの観点でまとめたのが以下の図です。

（Risk Based Security「2020 Q1 Report Vulnerability QuickView」より）

　全体の31.2％にあたる1554件の脆弱性に対して攻撃手法が公開されており、さらにそのうちの36.1％にあたる561件がCVEに詳細な情報がなく、さらにその60.2％にあたる338件が遠隔から悪用可能な脆弱性となっています。この338件の中には、遠隔からの認証バイパスやXSS、SQLインジェクション、情報漏えいやDoSに繋がる脆弱性などが含まれています。しかも、対象となる製品のベンダーにはSymantecやAppleといったメジャーな企業が挙げられています。

　これはかなり深刻な問題です。特にCVEのデータのみに基づいて脆弱性対策を行っている場合には対応漏れが発生する可能性があります。

　実は、同様の問題が別のセキュリティ企業からも報告されています。

　米RiskSenseは、54のオープンソースソフトウェア（OSS）のプロジェクトを調査した結果を「RiskSense Spotlight Report - The Dark Reality of Open Source」として公開し、その中でOSSの脆弱性が公になってからNVDに登録される（CVE番号が振られる）まで平均して54日を要していることを明らかにしました。最も長いものではPostgreSQLの深刻な脆弱性で1817日かかったケースや、登録までに1年以上かかった脆弱性がCVE番号で119件あったこと、また、全体の24％が登録までに1カ月以上を要していたことを報告しています。なお、調査対象は2015年から2020年の第1四半期までに公開された、CVE番号で計2694件の脆弱性です。

　RiskSenseの調査はOSSに限定していますが、Risk Based Securityの調査と同様、CVEのデータだけに頼った脆弱性管理では十分ではないことを示しています。

　脆弱性情報が増えているのは、ソフトウェアや製品が脆弱になったわけではなく、脆弱性を見つけようとする人や機会が増えたからであり、それ自体は悪いことではなく、むしろ歓迎すべきことです。しかし、それらの情報を収集してデータベース化する側の能力（制度面などの仕組みも含めて）が追いついていないのは問題です。この点は早急な改善が求められますが、利用者側も公的機関の情報だけに頼っていてはいけないとの認識を持つ必要があり、例えば、セキュリティベンダーが独自に作成した商用の脆弱性情報データベースの利用なども解の1つでしょうし、闇雲に収集するのではなく、適切な取捨選択も必要でしょう。なお、同様の問題については本連載の2017年7月の記事と同12月の記事でもすでに紹介しています。

　Risk Based SecurityとRiskSenseはどちらもセキュリティで商売をしている営利企業なので、最終的な解として自社の製品やサービスの購入に繋げるためか、表現の仕方に少々煽り気味に感じられる部分もあります。それでも、脆弱性情報の収集については情報源を広げるなどの改善が必要なのは確かです。もしCVEのデータだけに頼っているような場合は、改めて情報収集のあり方について検討することを強くお勧めします。

「Cレベルの経営層」は企業にとって最大のセキュリティホール

　経営層はサイバー攻撃のターゲットにされやすく、実際に経営層が攻撃被害の入り口となるケースが珍しくないことはよく知られています。そのような中、米国のモバイルセキュリティ企業のMobileIronは、Cレベルの経営層のセキュリティ意識などを調査した結果を「Trouble at the Top」として公開しました。

　調査はオンラインのインタビューで行われ、従業員500人以上の民間企業におけるITセキュリティの意思決定者300人、Cレベルの経営層50人に対して行われました。調査対象者の内訳は以下の通り。

• ITセキュリティ意思決定者：計300人
  - 米国：150人
  - 英国：60人
  - フランス：30人
  - ドイツ：30人
  - ベルギー／オランダ：30人
• Cレベルの経営層：計50人
  - 米国：30人
  - 英国：20人

　まず、Cレベルの経営層が自社のモバイルセキュリティに対して不満を感じている実態が明らかになっています。ポイントは以下の2点。

• Cレベルの経営層の68％はITセキュリティが自分のプライバシーを侵害していると回答し、62％はセキュリティがデバイスの使い勝手を制限していると回答、58％がITセキュリティは複雑すぎて理解できないと主張。
• Cレベルの経営層の76％は、昨年、自組織のセキュリティプロトコルのうち1つ以上を迂回するように要求したことを認めている。さらにそのうち、47％がサポートされていないデバイスへのネットワークアクセスを要求し、45％が多要素認証（MFA）の迂回を要求、37％がサポートされていないアプリ上のビジネスデータへのアクセスを要求。

　迂回の要求回数をまとめたのが以下の図です。

（MobileIron「Trouble at the Top」より）

　また、Cレベルの経営層がサイバー攻撃に対して脆弱であることも明らかになっています。ポイントは以下の2点。

• IT部門の意思決定者の78％は、Cレベルの経営層がフィッシング攻撃のターゲットになる可能性が最も高いと回答し、71％はCレベルの経営層がそのような攻撃の被害者になる可能性が最も高いと指摘。
• IT部門の意思決定者の72％は、Cレベルの経営層がパスワードを忘れたり、再設定の手助けを必要としたりする可能性が最も高いと指摘。

　Cレベルの経営層が受けたサイバー攻撃をまとめたのが以下の図です。

（MobileIron「Trouble at the Top」より）

　この結果に大いに頷くITセキュリティ担当者は少なくないと思います。セキュリティ意識の低い経営層の存在がリスクになっているのはどの国のどの企業においても珍しいことではなく、その危険性を多くのITセキュリティ担当者は認識しています。改めて経営層の「適切な意識」が重要だということを示す調査結果と言えるでしょう。