もはや企業もお手上げの脆弱性対応、政府はこの状況をどう変える?
新しく発見される脆弱性の数が増え続けており、個々の企業では対応が難しくなっている。国が音頭を取って対応する試みはうまくいくのだろうか。
脆弱(ぜいじゃく)性情報は日々更新されており、年間では7000件に上る。単純計算で1日当たり19件だ。これを発見、検証し、対応する作業は企業にとって大きな負担になっている。
7000件の脆弱性に対応するには 企業には無理なのか
このような数の暴力に対応するのは一企業には難しい。そこで国が主導権を取って対応するという取り組みが進んでいるという。
その一つが米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の取り組みだ。
2024年9月30日、CISAは脆弱性管理プログラムに関する年次報告書の中で「連邦民間機関が、2023年にVulnerability Disclosure Policy(VDP)のプラットフォームに提出された7000件以上の脆弱性を優先して処理できた」と発表した(注1)。
CISAの脆弱性管理プログラムがうまく回る
CISAの報告書によると、連邦機関が2023年に修復した脆弱性は872件で、2022年から78%増加したという。連邦政府は2023年にVDPのプラットフォームに提出された脆弱性のうち、実際に15%で対応が必要だと判断した。
同プログラムは重大な脆弱性に一貫して対応してきた。VDPのプラットフォームが2023年に特定した重大な脆弱性は250件で、2022年から130%急増した。
VDPのプラットフォームが特定する脆弱性はなぜ増えているのだろうか。理由の一つは公共機関や民間企業を問わず参加者が増加していることだ。
研究者が発見したソフトウェアの欠陥を連邦民間機関が受け入れて修正する取り組みを支援するために、CISAは2021年に連邦政府の脆弱性管理プログラムを設立した。
2023年末時点で、51の連邦機関と3246人のセキュリティ研究者が同プログラムをサポートしており、そのうち1700人以上は2023年に新たに参加したメンバーだ。
国主導のプログラムに参加するメリットとは
CISAは年次報告書の中で、次のように述べた。
「VDPのプラットフォームに参加する機関が増えるにつれて、特定、修復される脆弱性の数も増加し、連邦政府の環境がより安全になっていくだろう」
参加機関は非参加機関よりも平均して2日早く脆弱性を検証した。CISAによると、2023年にVDPのプラットフォームに参加した機関は、重大な脆弱性の潜在的な修正コストを平均して約445万ドル節約できたという。
2023年にVDPのプラットフォームを通じて特定された脆弱性はどのような分野のものだろうか。上位の5種類を挙げると次のようになった。
・(1)クロスサイトスクリプティング(371個)
・(2)サーバサイドインジェクション(178個)
・(3)機密データの暴露(172個)
・(4)サーバセキュリティの設定ミス(119個)
・(5)アクセス制御の欠如(65個)
出典:CISA’s vulnerability management program spotted 250 critical CVEs in 2023(Cybersecurity Dive)
注1:Vulnerability Disclosure Policy Platform 2023 Annual Report (CISA)
© Industry Dive. All rights reserved.
関連記事
政府も対応できていない66件の重要な脆弱性とは
大規模なサイバー攻撃の対象となっている脆弱性はどれだろうか。信頼できる情報が必要だが、混乱した状況が続いている。
脆弱性が多すぎて情報公開が停滞、未公開の脆弱性に注意を
報告される脆弱性の件数は増え続けるばかりだ。そのため、全世界で利用されている脆弱性データベースの更新が追い付いていない。
発見されたら「放置してはいけない」脆弱性はどれ
毎月発表される脆弱性の数は予想以上に多い。だが、深刻な脆弱性はどの程度あるのだろうか。脆弱性はどの程度実際のサイバー攻撃で使われているのだろうか。