「脆弱性の修正まだ？」に焦るIT企業、業界全体で取り組むべきこととは

被害が深刻化するサイバー攻撃が増える中、ソフトウェアベンダーには対応の迅速化が求められる。そのためには今の何を変えるべきなのか。

[Sue Poremba，Cybersecurity Dive]

　大手テクノロジー企業は、セキュリティ脆弱（ぜいじゃく）性の修正を迅速化している。GoogleのProject Zeroのデータによれば、ベンダーが脆弱性を修正するのに要する日数は、2019年では平均80日だったのが2021年では52日にまでに短縮されたという。また、2019年から2021年にかけてAppleは87％のバグを、Microsoftは76％のバグを90日で修正した。

迅速化するセキュリティ修正に“圧”を感じるテック企業

　 Aqua Securityのエイラム・ミルナー（Eylam Milner）氏は、「テックコミュニティーは、DevOpsとCI／CD（Continuous Integration／Continuous Delivery）の技術的進歩とバグバウンティプログラム（脆弱性報奨金制度）の採用、オープンソースプラットフォームのセキュリティ問題追跡などによって問題の修正を迅速化しています」と述べる。

　ただし、注意点がある。脆弱性報奨金制度は最大手のハイテク企業と中小企業とでは、その手法が異なる。

　ミルナー氏は「MicrosoftやFacebook（現Meta）、Oracle、Mozillaなどの大手テック企業とソフトウェアベンダー、オープンソースプロジェクトではセキュリティ問題の処理手法が異なります。また90日以内にセキュリティ問題の修正を強いられる大手テック企業は、社内の組織構造やエンジニアリング文化、技術革新を求められます。それをエンジニアリングコミュニティー全体が大手テック企業を模倣し、業界全体でセキュリティ問題の解決に取り組んでいるのです」とミルナー氏は述べる。

　テック業界は迅速かつタイムリーに脆弱性を修正するが、結局ユーザーが早くパッチを適用しなければ問題が長引く可能性がある。

　GRIMMのマット・カーペンター（Matt Carpenter）氏（シニアプリンシパルセキュリティリサーチャー）は、「セキュリティコミュニティーのメンバーは、パッチのプロセスや手順を定義する重要性を説いていますが、知識のギャップはまだ残っています。優れたセキュリティポリシーの核となるのは、組織が保持する技術や資産や把握し、パッチの適用感覚とプロセス、手順を明文化することです」と語る。

テック企業の脆弱性対応は改善の余地あり、でもどうやって？

　テック企業が脆弱性の評価にどれほど長けていても、まだ改善の余地はある。脆弱性対応を是正する手段として鍵となるのがアプリケーションセキュリティの自動化ソリューションだ。

　ミルナー氏は「ユーザーやソフトウェアベンダーが大量のセキュリティリスクに対処するには、脆弱性の検出と修正、予防のプロセスを自動化することが不可欠です」と述べる。そして、企業が信頼できるセキュリティ企業と提携することで、長期的なリスクを削減できる。

　カーペンター氏は「組織は信頼と知識のあるセキュリティ企業からセキュリティアーキテクチャレビューや脅威とリスクの評価を受けるべきです」と意見する。

　リスク評価結果の価値を最大限に高めるには、CSO（最高戦略責任者）やCIO（最高情報責任者）、CTO（最高技術責任者）などのトップエグゼクティブとともにセキュリティチームを編成し、外部の評価グループと連携する必要がある。そうすることで、リスク評価が社内に伝達され、必要な是正措置が講じられる。

　AxoniusのDaniel Trauner（ダニエル・トロウネル）氏（セキュリティ担当シニアディレクター）は「資産管理について明確な戦略を持つことが重要です。資産管理戦略がなければ、適用すべきパッチがあることにさえ気付けないかもしれません。また、いくらテック企業が脆弱性修正が早くても、ユーザーが迅速にセキュリティパッチを適用しなければ、被害を防ぐ効果はあまり期待できません」と語る。

出典：Big tech is fixing bugs faster. Will that influence trickle down？（Cybersecurity Dive）