政府のセキュリティ負債、企業にも降りかかる危機
調査によると、政府機関が利用しているITシステムには大量の「セキュリティ負債」がたまっている。政府だけの問題だけではなく、結局は企業も悪影響を受けるという。
セキュリティテストサービスを提供するVeracodeが2025年6月11日に発表した報告書によると(注1)、政府機関は膨大な量の「セキュリティ負債」を抱えているという。これは政府機関にとどまらず、企業や一般市民がサイバー攻撃の被害に遭うリスクにつながるのだという。
政府のセキュリティ負債、企業にも降りかかる危機
このセキュリティ負債とは何だろうか。
セキュリティ負債とは、対応できていないソフトウェアの脆弱(ぜいじゃく)性だ。報告書によると、政府機関のおよそ80%が少なくとも1年以上、未対応のまま残っているソフトウェアの脆弱性を抱えており、さらに約55%が重大なリスクにつながる長期間にわたるソフトウェアの欠陥を抱えているようだ。
Veracodeの調査によると、政府機関がソフトウェアの脆弱性の半分を修正するまでにかかる平均日数は315日であり、官民を合わせた全体の平均252日よりも大幅に長いことが分かった。
Veracodeによると、政府機関において安全ではないソフトウェアに対処するために必要な投資や手続きが企業側にも不足しているという。
Veracodeのクリス・ワイソパール氏(チーフセキュリティエヴァンジェリスト)は、「Cybersecurity Dive」に対して次のように述べた。
「セキュリティ上の問題を見つけたとしても、それを修正するための十分なエンジニアリング能力やプロセスが政府にはない。それよりもソフトウェアの機能を追加することに重点を置いている。政府は追加のコードが書かれるたびに見つかる欠陥に追い付くために十分な効率を有する修正プロセスを持っていない」
蓄積されたセキュリティ負債の原因は幾つかある。Veracodeによると、多くの政府機関はレガシーなフレームワークで構築された古いアプリケーションを使用している。これらのアプリケーションは非常に古いことがあり、開発者がもはやサポートできないこともある。
資産の可視化サービスを提供するAxoniusで連邦システムを担当するトム・ケネディ氏(バイスプレジデント)は、Cybersecurity Diveに対して次のように語っている。
「政府のレガシーなIT環境はしばしば包括的な可視性と統合機能を欠いており、これが脆弱性の迅速な特定と修正を妨げている。古くなったソフトウェアやパッチが当てられていない脆弱性、安全ではない設定に依存しており、これが全体的なセキュリティに直接的な悪影響を与えている」
民主主義防衛財団(FDD)の研究者たちによると、最も重要な脆弱性を最優先で対処して、それらがセキュリティ上の脅威にならないようにする必要が政府にはあるという。
民主主義防衛財団のサイバーおよび技術革新センターに所属するジョージアナ・シェア氏(チーフテクノロジスト)は次のように述べた。
「完璧なソフトウェアは存在せず、全てのコードベースは作成された瞬間からセキュリティ負債を抱えている。政府は未解決の脆弱性が存在することを予期して、それに応じた予算をあらかじめ確保すべきだ。今日安全だとされるコードも、放置すれば明日のリスクになる可能性がある」
政府機関はしばしば厳しい予算制約の下で、限られた人員で業務を遂行している。サイバー領域の専門家は、最近連邦機関に広がっている予算削減や人員削減がセキュリティに与える影響について懸念を表明している(注2)。
Veracodeの報告書はサードパーティー製ソフトウェアおよびオープンソースソフトウェアのリスクについても懸念を示した。報告書によると、これらのプログラムは全体のセキュリティ負債のわずか10%を占めるに過ぎないが、政府のネットワークにおける重大なセキュリティ負債の70%を占めていることが分かった。
2024年末、国家から支援を受けた攻撃者が財務省を侵害した。攻撃者は、クラウドベースの技術サポート用に設計された鍵を使用して(注3)、財務省のITベンダーBeyondTrustの複数の顧客に対して攻撃を仕掛けた。このように脆弱性を利用していないサイバー攻撃似も対応する必要がある。
出典:Software vulnerabilities pile up at government agencies, research finds(Cybersecurity Dive)
注1:Public Sector Application Risk Accumulates as Security Debt Grows Across Government Systems(Veracode)
注2:Trump’s national cyber director nominee dodges criticism of funding cuts(Cybersecurity Dive)
注3:CISA says hack targeting Treasury Department did not impact other federal agencies(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
オープンソースソフトのつまみ食いがまずい理由とは
GitHubなどに置かれたソースコードを狙うサイバー攻撃が目立ってきた。もしソースコードに欠陥があれば、そのソースコードを使ったアプリケーションソフトウェアにも同じ欠陥が伝染するからだ。オープンソースソフトウェアを使う際にどうすればサイバー攻撃に遭う確率を下げられるのだろうか。
マイクロソフトが解説――攻撃者は脆弱性をどのように“活用”するのか?
脆弱性を狙ったサイバー攻撃に対して、われわれは何をどのように対策すればいいのだろうか。日本マイクロソフトは、2023年3月に開催したオンラインセミナーでこの疑問に答えた。
狙われるWindowsのショートカットファイル、でもMicrosoftが修正を拒む理由とは
ソフトウェアの脆弱性は発見されて即座にパッチが配布されるわけではない。Windowsで見つかったある脆弱性の例を紹介しよう。