もはや企業もお手上げの脆弱性対応、政府はこの状況をどう変える？

新しく発見される脆弱性の数が増え続けており、個々の企業では対応が難しくなっている。国が音頭を取って対応する試みはうまくいくのだろうか。

[Matt Kapko，Cybersecurity Dive]

　脆弱（ぜいじゃく）性情報は日々更新されており、年間では7000件に上る。単純計算で1日当たり19件だ。これを発見、検証し、対応する作業は企業にとって大きな負担になっている。

　従業員が利用するデスクトップのOSやアプリケーションソフトウェアはもちろん、サーバ内のミドルウェアやクラウドプラットフォーム、IoTデバイスなど見なければならない範囲が広い。それにもかかわらず専門知識を持つ人材が限られている。時間にも追われている。定期的な更新と監視が必要であり、どの脆弱性が「待ったなし」なのかを見分ける必要があるからだ。そうした中でコンプライアンスや規制の厳格化にも応えなければならない。

7000件の脆弱性に対応するには　企業には無理なのか

　このような数の暴力に対応するのは一企業には難しい。そこで国が主導権を取って対応するという取り組みが進んでいるという。

　その一つが米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）の取り組みだ。

　2024年9月30日、CISAは脆弱性管理プログラムに関する年次報告書の中で「連邦民間機関が、2023年にVulnerability Disclosure Policy（VDP）のプラットフォームに提出された7000件以上の脆弱性を優先して処理できた」と発表した（注1）。

CISAの脆弱性管理プログラムがうまく回る

　CISAの報告書によると、連邦機関が2023年に修復した脆弱性は872件で、2022年から78％増加したという。連邦政府は2023年にVDPのプラットフォームに提出された脆弱性のうち、実際に15％で対応が必要だと判断した。

　同プログラムは重大な脆弱性に一貫して対応してきた。VDPのプラットフォームが2023年に特定した重大な脆弱性は250件で、2022年から130％急増した。

　VDPのプラットフォームが特定する脆弱性はなぜ増えているのだろうか。理由の一つは公共機関や民間企業を問わず参加者が増加していることだ。

　研究者が発見したソフトウェアの欠陥を連邦民間機関が受け入れて修正する取り組みを支援するために、CISAは2021年に連邦政府の脆弱性管理プログラムを設立した。

　2023年末時点で、51の連邦機関と3246人のセキュリティ研究者が同プログラムをサポートしており、そのうち1700人以上は2023年に新たに参加したメンバーだ。

国主導のプログラムに参加するメリットとは

　CISAは年次報告書の中で、次のように述べた。

　「VDPのプラットフォームに参加する機関が増えるにつれて、特定、修復される脆弱性の数も増加し、連邦政府の環境がより安全になっていくだろう」

　参加機関は非参加機関よりも平均して2日早く脆弱性を検証した。CISAによると、2023年にVDPのプラットフォームに参加した機関は、重大な脆弱性の潜在的な修正コストを平均して約445万ドル節約できたという。

　2023年にVDPのプラットフォームを通じて特定された脆弱性はどのような分野のものだろうか。上位の5種類を挙げると次のようになった。

・（1）クロスサイトスクリプティング（371個）
・（2）サーバサイドインジェクション（178個）
・（3）機密データの暴露（172個）
・（4）サーバセキュリティの設定ミス（119個）
・（5）アクセス制御の欠如（65個）

（2024年11月7日午後12時50分）本文の第2段落を加筆しました。

出典：CISA’s vulnerability management program spotted 250 critical CVEs in 2023（Cybersecurity Dive）
注1：Vulnerability Disclosure Policy Platform 2023 Annual Report （CISA）

原文へのリンク