海の向こうの“セキュリティ”

MSPを狙うサイバー攻撃の世界的な増加、各国のサイバーセキュリティ当局が提案する推奨事項とは?

米国などのサイバーセキュリティ当局によるMSPとその顧客向けのアドバイザリー公開

 マネージド・サービス・プロバイダ(以降、MSP)を狙ったサイバー攻撃の世界的な増加を受け、米国をはじめとする複数の国のサイバーセキュリティ当局は連名でアドバイザリー「Protecting Against Cyber Threats to Managed Service Providers and their Customers」を公開しました。名を連ねているのは以下の5カ国7組織です。

アメリカ合衆国・CISA:Cybersecurity & Infrastructure Security Agency(サイバーセキュリティ・インフラストラクチャ・セキュリティ庁)
https://www.cisa.gov/
・NSA:National Security Agency(国家安全保障局)
https://www.nsa.gov/Cybersecurity/
・FBI:Federal Bureau of Investigation(連邦捜査局)
https://www.fbi.gov/investigate/cyber
イギリス・NCSC-UK:National Cyber Security Centre(国立サイバーセキュリティセンター)
https://www.ncsc.gov.uk/
オーストラリア・ACSC:Australian Cyber Security Centre(オーストラリア・サイバーセキュリティセンター)
https://www.cyber.gov.au/
カナダ・CCCS:Canadian Centre for Cyber Security(カナダ・サイバーセキュリティセンター)
https://www.cyber.gc.ca/en/
ニュージーランド・NCSC-NZ:National Cyber Security Centre(国立サイバーセキュリティセンター)
https://www.ncsc.govt.nz/

 今回公開されたアドバイザリーは、内容そのものに際立って目新しい点はないものの、それぞれの組織がすでに公開している資料を紹介しながら、MSPとその顧客に対する推奨事項をまとめたものになっています。

 主要なポイントとして、MSPの顧客は、契約上の取り決めにおいて、MSPが以下の対策や制御機能を実装していることについて明記していることを確認する必要があるとしています。

  • 脆弱なデバイス、インターネットに接続されたサービス、ブルートフォースおよびパスワード・スプレー、フィッシングからの初期侵害の攻撃方法を行えないように緩和リソースを実装して初期侵害を防止する。
  • 監視とロギングを有効にし、最も重要なログを少なくとも6カ月間保存する。また、アプリケーションの許可リスト/拒否リストの使用に加えてエンドポイント検出とネットワーク防御の監視機能を実装する。
  • リモートアクセスのアプリケーションをセキュアにし、可能な場合は多要素認証(MFA)を必須として、ネットワークやシステムへのアクセスを可能にするインフラを強化する。
  • インシデントレスポンス計画および復旧計画を策定して訓練する。この計画には、経営幹部、技術責任者、調達担当者など、組織の全ての関係者の役割と責任を含めるべきである。
  • セキュリティ、法務、調達の各グループにまたがるサプライチェーンリスクを理解して積極的に管理し、リスク評価を用いてリソースの割り当てを特定して優先順位をつける。

 上記の中では、最も重要なログの保存期間を最低6カ月と具体的に指定しているのは注目すべき点かもしれません。なお、「最も重要なログ」を含め、具体的に何をログに取れば良いのかについては、NCSC-UKが公開している以下の文書を参照すべしとしています。

参照:NCSC-UK(2021年3月18日)
・What exactly should we be logging?
https://www.ncsc.gov.uk/blog-post/what-exactly-should-we-be-logging

 なお、アドバイザリー本文でMSPとその顧客向けにまとめられた推奨事項として挙げられている項目は以下の通り(各項目の詳細は原文を参照)。

  • 初期侵害の防止
  • 監視とロギングプロセスの有効化/改善
  • 多要素認証(MFA)の必須化
  • 内部アーキテクチャーのリスクの管理および内部ネットワークの分離
  • 最小特権の原則の適用
  • 使われなくなったアカウントとインフラの非推奨化(無効化)
  • 更新の適用
  • システムとデータのバックアップ
  • インシデントレスポンス・復旧計画の策定および訓練
  • サプライチェーンリスクの理解と積極的な管理
  • 透明性の促進
  • アカウントの認証と権限付与の管理

 繰り返しになりますが、推奨事項の内容そのものは一般的で目新しいものはありません。それでも、参加した5カ国7組織がすでに公開している有益な資料を数多く参照することで、実質的に「リンク集」としても使えるように仕上げられています。

 CISAはこれまでにも同じように米国内外の同様の機関と連携してアドバイザリーをリリースしており、今回もその1つです。また、連携する組織はアドバイザリーごとに異なっています。ちなみに、このアドバイザリーの次に公開した「Weak Security Controls and Practices Routinely Exploited for Initial Access(初期アクセスのために日常的に悪用されている脆弱なセキュリティ制御と慣行)」はオーストラリアのACSCに代わり、以下の2組織を加えた5カ国8組織の連名となっています。

ニュージーランド・CERT NZ
https://www.cert.govt.nz/
オランダ・NCSC-NL:National Cyber Security Centre(国立サイバーセキュリティセンター)
https://english.ncsc.nl/

Synopsysが監査したコードに含まれるOSSの脆弱性

 米ソフトウェア企業Synopsysは年次報告書「Open Source Security and Risk Analysis(OSSRA)」の第7版となる2022年版を公開しました。今回の報告書は、主にM&A(合併・買収)案件を対象に、SynopsysのBlack Duck Audit Servicesチームが2021年に実施した17業種の商用のコードベースに対する2400件を超える監査の結果を検証したもので、オープンソースの使用傾向や脆弱性の有無、ライセンスの問題などを紹介しています。なお、あくまでSynopsysが監査したものを対象とした調査結果であり、世の中全体の傾向を示すものではないことに注意が必要です。

 まずオープンソースの使用傾向としては、調査対象のコードベースの97%にオープンソースが含まれており、さらに調査対象の17業種のうち、「コンピューターハードウェア・半導体」「サイバーセキュリティ」「エネルギー・クリーンテック」「IoT」の4つの分野では100%となっています。

 オープンソースにはさまざまなライセンスがありますが、使用しているオープンソースのライセンス違反などの何らかの問題を抱えているのは、調査対象のコードベースの53%で、これは前年(2020年)の65%に比べて大きく減っています。

 一方、脆弱性については、調査対象のコードベースの81%に少なくとも1つの脆弱性が存在しており、これは前年から3ポイントの減少となっています。これをリスクの高い脆弱性に限定すれば、前年に比べて11ポイントも減っており、大きな改善が見られています。

 他にも、含まれているオープンソースのメンテナンス状況についても調査しています。開発の活動が2年以上ないオープンソースを含んでいるのは88%、また、4年以上前のオープンソースを含んでいるのは85%となっています。もちろん、目に見える活動がないからと言って、必ずしもメンテナンスされておらず、脆弱性が見つかっても修正されないというわけではありませんが、脆弱性への対応が期待できるかどうかの判断基準の1つとは言えるかもしれません。なお、これに関連して、Linux Foundationとハーバード大学イノベーション科学研究所の調査結果を引用し、多くのオープンソースの開発体制が実質的に1人またはごく少数のメンバーで構成されている実態を紹介しています。

 その一方で、新しいバージョンがリリースされているにもかかわらず、古いバージョンのまま更新されていないコンポーネントを含むものは88%となっています。

 これらの結果を踏まえ、Synopsysは「Software Bill of Materials(SBOM、ソフトウェア部品表)」の使用を推奨しています。

 繰り返しになりますが、あくまでSynopsysが監査したものを対象とした調査の結果に過ぎず、世の中全体の傾向を示すものではありません。それでも、2000を超えるコードベースを調べた結果として、それなりに意味のあるものとは言えるでしょう。また、調査結果の数字自体はともかくとして、調査項目の多くはオープンソースを利用する上で一般的に注意すべき点でもあるので、まずは自組織においてそれらの項目について(調べられるものがあれば)調べてみる価値は間違いなくあります。うまく利用してください。なお、今回はあくまで一部を抜粋して紹介しただけですので、興味のある方はぜひ原文をご覧ください。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。