政府主導の「脆弱性削減作戦」の成果はいかに？

企業が利用するソフトウェアの種類は予想以上に多い。どこに脆弱性が潜んでいるのかは分からない。国が音頭を取って脆弱性を減らす取り組みが進んでいるものの、成果は出ているのだろうか。

[David Jones，Cybersecurity Dive]

　脆弱（ぜいじゃく）なソフトウェアを利用していると、サイバー攻撃を受けたときに容易に侵入を許してしまう。定期的に自社で脆弱性をスキャンしたり、スキャンサービスを利用したりする企業も少なくない。

国主導で脆弱性に立ち向かう

　だが、脆弱性をウォッチし続ける負荷は低くない。国が音頭を取って脆弱性を減らす取り組みが進んでいるが、成果は出ているのだろうか。

　サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、2023年12月5日に「組織のセキュリティリスクが減少した」と発表した（注1）。これは2022年10月に「サイバーセキュリティのパフォーマンス目標（CPG）プログラム」を発表して以来のことだという（注2）。

　CPGプログラムのリリース以来、CISAの脆弱性スキャンサービスに登録した組織は恩恵を受けている。悪用された既知の脆弱性の数が平均で約20％削減した。

　CISAによると、組織はインターネットからアクセスでき、悪用が可能な公開サービスの数を1％減らすことができた。この他、初期のアクセスやランサムウェアの配布、データの窃盗に一般的に使用されるリモートデスクトッププロトコルとリモートプロシージャコールの数もわずかに減少した。

企業内の既知の脆弱性が減少

　CISAが立ち上げたCPGプログラムは、中小規模の組織が達成可能な改善を通じてセキュリティ体制を向上させるための自主的なロードマップだ（注3）。

　2022年4月1日以前にCISAの脆弱性スキャンサービスに登録されていたのは約3500の組織だ。CISAによると、2023年6月までに登録組織数は約70％増え、5900以上に増えた。

　「Known Exploited Vulnerabilities Catalog」（KEVカタログ：既知の脆弱性カタログ）は（注4）、実際に攻撃に利用された脆弱性のリストだ。CISAは企業ごとに存在する既知の脆弱性（KEV）の数も測定した。

　CISAの「シールドアップ・キャンペーン」が始まって間もない2022年4月には、1組織当たり約0.58件のKEVが存在した。その後、件数は上下し、2022年10月には1組織当たり0.49件まで下がった。

　2022年11月以降、組織内の既知の脆弱性は着実に減少しており、CISAのデータによると、2023年6月までに1組織当たり0.30件に減少した。

CISAの取り組みは成功したと言えるのだろうか

　開発ライフサイクルを支援するSonatypeのブライアン・フォックス氏（共同設立者兼CTO《最高技術責任者》）は、「CISAの報告書における初期の成果には勇気づけられた」と述べた。

　しかし、同氏はスキャンサービスに登録されている組織には選択の偏りがあることについて注意を促した。「私の見るところでは、より大きな問題は市場の大多数がこの問題に十分な注意を払っていないことだ」（フォックス氏）

　フォックス氏は、脆弱性の最初の開示から2年が経過してもなおダウンロードされた「Apache Log4j」のうち30％はいまだに脆弱なバージョンだと指摘した（注5）。

出典：CISA performance goals program trims exploited CVEs（Cybersecurity Dive）
注1：Cybersecurity Performance Goals: Assessing How CPGs Help Organizations Reduce Cyber Risk （CISA）
注2：CISA aims for target rich, resource poor sectors in rollout of security basics（Cybersecurity Dive）
注3：Explore CISA’s 37 steps to minimum cybersecurity（Cybersecurity Dive）
注4：Known Exploited Vulnerabilities Catalog（CISA）
注5：Federal authorities, technology vendors race to contain Log4j vulnerability（Cybersecurity Dive）