海の向こうの“セキュリティ”
MSPを狙うサイバー攻撃の世界的な増加、各国のサイバーセキュリティ当局が提案する推奨事項とは?
2022年6月9日 11:50
米国などのサイバーセキュリティ当局によるMSPとその顧客向けのアドバイザリー公開
マネージド・サービス・プロバイダ(以降、MSP)を狙ったサイバー攻撃の世界的な増加を受け、米国をはじめとする複数の国のサイバーセキュリティ当局は連名でアドバイザリー「Protecting Against Cyber Threats to Managed Service Providers and their Customers」を公開しました。名を連ねているのは以下の5カ国7組織です。
| アメリカ合衆国 | ・CISA:Cybersecurity & Infrastructure Security Agency(サイバーセキュリティ・インフラストラクチャ・セキュリティ庁) https://www.cisa.gov/ ・NSA:National Security Agency(国家安全保障局) https://www.nsa.gov/Cybersecurity/ ・FBI:Federal Bureau of Investigation(連邦捜査局) https://www.fbi.gov/investigate/cyber |
| イギリス | ・NCSC-UK:National Cyber Security Centre(国立サイバーセキュリティセンター) https://www.ncsc.gov.uk/ |
| オーストラリア | ・ACSC:Australian Cyber Security Centre(オーストラリア・サイバーセキュリティセンター) https://www.cyber.gov.au/ |
| カナダ | ・CCCS:Canadian Centre for Cyber Security(カナダ・サイバーセキュリティセンター) https://www.cyber.gc.ca/en/ |
| ニュージーランド | ・NCSC-NZ:National Cyber Security Centre(国立サイバーセキュリティセンター) https://www.ncsc.govt.nz/ |
今回公開されたアドバイザリーは、内容そのものに際立って目新しい点はないものの、それぞれの組織がすでに公開している資料を紹介しながら、MSPとその顧客に対する推奨事項をまとめたものになっています。
主要なポイントとして、MSPの顧客は、契約上の取り決めにおいて、MSPが以下の対策や制御機能を実装していることについて明記していることを確認する必要があるとしています。
|
上記の中では、最も重要なログの保存期間を最低6カ月と具体的に指定しているのは注目すべき点かもしれません。なお、「最も重要なログ」を含め、具体的に何をログに取れば良いのかについては、NCSC-UKが公開している以下の文書を参照すべしとしています。
参照:NCSC-UK(2021年3月18日)
・What exactly should we be logging?
https://www.ncsc.gov.uk/blog-post/what-exactly-should-we-be-logging
なお、アドバイザリー本文でMSPとその顧客向けにまとめられた推奨事項として挙げられている項目は以下の通り(各項目の詳細は原文を参照)。
|
繰り返しになりますが、推奨事項の内容そのものは一般的で目新しいものはありません。それでも、参加した5カ国7組織がすでに公開している有益な資料を数多く参照することで、実質的に「リンク集」としても使えるように仕上げられています。
CISAはこれまでにも同じように米国内外の同様の機関と連携してアドバイザリーをリリースしており、今回もその1つです。また、連携する組織はアドバイザリーごとに異なっています。ちなみに、このアドバイザリーの次に公開した「Weak Security Controls and Practices Routinely Exploited for Initial Access(初期アクセスのために日常的に悪用されている脆弱なセキュリティ制御と慣行)」はオーストラリアのACSCに代わり、以下の2組織を加えた5カ国8組織の連名となっています。
| ニュージーランド | ・CERT NZ https://www.cert.govt.nz/ |
| オランダ | ・NCSC-NL:National Cyber Security Centre(国立サイバーセキュリティセンター) https://english.ncsc.nl/ |
- CISA (2022年5月11日)
CISA, NSA, FBI and International Cyber Authorities Issue Cybersecurity Advisory to Protect Managed Service Providers (MSP) and Customers - https://www.cisa.gov/news/2022/05/11/joint-cybersecurity-advisory-protect-msp-providers-and-customers
- CISA Alert AA22-131A(2022年5月11日)
Protecting Against Cyber Threats to Managed Service Providers and their Customers - https://www.cisa.gov/uscert/ncas/alerts/aa22-131a
- Protecting Against Cyber Threats to Managed Service Providers and their Customers(PDF版)
- https://www.cisa.gov/uscert/sites/default/files/publications/AA22-131A_Protecting_Against_Cyber_Threats_to_MSPs_and_their_Customers.pdf
- TECH+ (2022年5月13日)
攻撃にさらされるマネージドサービスを安全に使うため、各国当局が勧告 - https://news.mynavi.jp/techplus/article/20220513-2344217/
- CISA Alert AA22-137A (2022年5月17日)
Weak Security Controls and Practices Routinely Exploited for Initial Access - https://www.cisa.gov/uscert/ncas/alerts/aa22-137a
- Weak Security Controls and Practices Routinely Exploited for Initial Access(PDF版)
- https://www.cisa.gov/uscert/sites/default/files/publications/AA22-137A-Weak_Security_Controls_and_Practices_Routinely_Exploited_for_Initial_Access.pdf
- TECH+(2022年5月18日)
犯罪者は侵入時に脆弱なセキュリティ管理と慣習を悪用、確認と対策を - https://news.mynavi.jp/techplus/article/20220518-2347040/
Synopsysが監査したコードに含まれるOSSの脆弱性
米ソフトウェア企業Synopsysは年次報告書「Open Source Security and Risk Analysis(OSSRA)」の第7版となる2022年版を公開しました。今回の報告書は、主にM&A(合併・買収)案件を対象に、SynopsysのBlack Duck Audit Servicesチームが2021年に実施した17業種の商用のコードベースに対する2400件を超える監査の結果を検証したもので、オープンソースの使用傾向や脆弱性の有無、ライセンスの問題などを紹介しています。なお、あくまでSynopsysが監査したものを対象とした調査結果であり、世の中全体の傾向を示すものではないことに注意が必要です。
まずオープンソースの使用傾向としては、調査対象のコードベースの97%にオープンソースが含まれており、さらに調査対象の17業種のうち、「コンピューターハードウェア・半導体」「サイバーセキュリティ」「エネルギー・クリーンテック」「IoT」の4つの分野では100%となっています。
オープンソースにはさまざまなライセンスがありますが、使用しているオープンソースのライセンス違反などの何らかの問題を抱えているのは、調査対象のコードベースの53%で、これは前年(2020年)の65%に比べて大きく減っています。
一方、脆弱性については、調査対象のコードベースの81%に少なくとも1つの脆弱性が存在しており、これは前年から3ポイントの減少となっています。これをリスクの高い脆弱性に限定すれば、前年に比べて11ポイントも減っており、大きな改善が見られています。
他にも、含まれているオープンソースのメンテナンス状況についても調査しています。開発の活動が2年以上ないオープンソースを含んでいるのは88%、また、4年以上前のオープンソースを含んでいるのは85%となっています。もちろん、目に見える活動がないからと言って、必ずしもメンテナンスされておらず、脆弱性が見つかっても修正されないというわけではありませんが、脆弱性への対応が期待できるかどうかの判断基準の1つとは言えるかもしれません。なお、これに関連して、Linux Foundationとハーバード大学イノベーション科学研究所の調査結果を引用し、多くのオープンソースの開発体制が実質的に1人またはごく少数のメンバーで構成されている実態を紹介しています。
その一方で、新しいバージョンがリリースされているにもかかわらず、古いバージョンのまま更新されていないコンポーネントを含むものは88%となっています。
これらの結果を踏まえ、Synopsysは「Software Bill of Materials(SBOM、ソフトウェア部品表)」の使用を推奨しています。
繰り返しになりますが、あくまでSynopsysが監査したものを対象とした調査の結果に過ぎず、世の中全体の傾向を示すものではありません。それでも、2000を超えるコードベースを調べた結果として、それなりに意味のあるものとは言えるでしょう。また、調査結果の数字自体はともかくとして、調査項目の多くはオープンソースを利用する上で一般的に注意すべき点でもあるので、まずは自組織においてそれらの項目について(調べられるものがあれば)調べてみる価値は間違いなくあります。うまく利用してください。なお、今回はあくまで一部を抜粋して紹介しただけですので、興味のある方はぜひ原文をご覧ください。
- Synopsys (2022年4月12日)
2022 OSSRA discovers 88% of organizations still behind in keeping open source updated - https://www.synopsys.com/blogs/software-security/open-source-trends-ossra-report/
- Synopsys(2022年4月12日)
[Analyst Report] 2022 Open Source Security and Analysis Report - https://www.synopsys.com/software-integrity/resources/analyst-reports/open-source-security-risk-analysis.html?intcmp=sig-blog-ossra22
- Dark Reading(2022年4月13日)
80% of Software Codebases Contain at Least One Vulnerability - https://www.darkreading.com/application-security/80-of-software-codebases-contain-at-least-one-vulnerability
- ZDNet Japan(2022年5月20日)
「使用中のオープンソースで継続的にアップデートしていない」9割 - https://japan.zdnet.com/article/35187721/
- The Linux Foundation Japan(2022年3月3日)
Linux Foundationとハーバード大学イノベーション科学研究所、最も使用されているオープンソース アプリケーション ライブラリに関する調査結果を発表 - https://prtimes.jp/main/html/rd/p/000000161.000042042.html
- 経済産業省(2022年5月10日)
オープンソースソフトウェアの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集を拡充しました - https://www.meti.go.jp/press/2022/05/20220510001/20220510001.html
CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。