Webinar解説「人手による脆弱性管理の限界と最適な解決策」

安田 良明 解説:
ISC2認定主任講師/株式会社ラック 安田 良明 氏
CISSP, SSSP

Webinar開催日:2019年9月18日
スピーカー: 花檀 明伸, Security Engineer, Tenable.

Webinar視聴のご視聴はこちら

みなさん、こんにちは。ISC2認定講師の安田 良明です。2019年も11月に突入し、残り2か月という状況ですが、僕自身は心機一転、新しい環境でのスタートを迎えることとなり、これからの新しい領域でのチャレンジに向けて、日々やる気に満ちております。

今回は、第11回目に配信されたISC2日本語Webinarの解説を行います。第11回目のWebinarでは、「人手による脆弱性管理の限界と最適な解決策」について、膨大な数の脆弱性管理をしなければならない組織が、具体的現実的に課題を解決する脆弱性管理手法が解説されており、従前の脆弱性診断結果の CVSSベースのアプローチに加え、リスクベース手法のアプローチを採用することで、合理的な脆弱性管理が実現できることを理解することができました。また、CVSSベースのアプローチにリスクベースのアプローチを採用しなければならない具体的な脅威動向の事例や、実際に組織が向き合わなければならない脆弱性を判断する考え方を身に着けることができました。脆弱性管理の現場では、CVSSに対応した自動診断ツールや人手による診断作業の判定結果(Critical、High、Middle、Low)に応じ、総じてCriticalやHighの結果については、アセット(情報資産)に対しパッチを適用する意思決定を行ってしまいがちですが、リスクベース手法のアプローチを適切に追加実装することで、組織が保有するリスクを効果的に排除していく環境を実現できることもわかりましたので、優先的にパッチ適用するアセットの範囲を迅速に判断でき、正確にリスク受容できない範囲のみに絞り込むことで、脆弱性管理のリソースを経済合理性に裏付けられた中で実現できる戦略を手に入れられることも学ぶことができました。

今回は、2019年9月18日に行われた「Tenable」様のWebinar「人手による脆弱性管理の限界と最適な解決策」について、「情報セキュリティとリスクマネジメント」のCISSP的な考え方にリンクさせながら解説を行ってみたいと思います。

CISSPの8ドメインでは、「情報セキュリティとリスクマネジメント」で取り扱っている数々のCBK(共通知識分野)を実践することで、組織に要求されている情報セキュリティの基本的な活動を包括的に実現できる環境が手に入れられるようになります。特に、「リスクマネジメント」に関する共通知識においては、組織のすべての業務活動に関連した資産、独自脅威、脆弱性を特定し、リスク分析の結果、リスク受容できないすべてのリスクに適切に対応し、残存したすべてのリスクを経営陣が根拠のある判断結果のもと、受け入れている環境を実現することが共通知識として要求されています。

また、特に「資産価値」に関する共通知識も必要となり、情報セキュリティ管理策の実施は、資産価値に基づくことが要求されるため、資産の重要性を特定し、資産価値が高い資産から優先的に情報セキュリティ管理策を実施していくことが求められています。今回は、このドメインで取り扱われている「リスクマネジメント」及び「資産価値」の共通知識を紐付けて、CISSPが考えなければならない脆弱性管理の知識と技術について、Webinarを解説したいと思います。

初めに、Webinar冒頭部で花檀様が、NISTサイバーセキュリティフレームワークの5つの機能「特定」、「防御」、「検知」、「対応」、「復旧」について解説しておりますが、CISSPの共通知識としても、「資産セキュリティ」の中で、NISTサイバーセキュリティフレームワークの解説を行っています。一般的に、組織の情報セキュリティの活動といえば、「防御」及び「検知」活動にリソースが優先的に割り当てられやすい風潮がありますが、近年では事故前提という考え方も普及していることから、「検知」及び「復旧」として、CSIRTの活動に紐ついた活動も組織が重点的に取り組むようになっております。しかし、本来、情報セキュリティの活動を実践するうえで、最も重要で困難な取り組みは、「特定」の活動であり、そもそも組織が事業を継続するうえで、最も重要な資産は一体何なのかを特定できない限り、事業活動に必要となる守るべきものも把握することができないことになるため、適切な保護手段を重要な情報資産に適用することすらままならないことになります。

また、重要な情報資産を特定できたとしても、その資産にどのような脅威が直面しているのか、またどのような脆弱性が存在するのかを特定することができない限り、経済的合理性に優れた組織が期待するリスク受容の活動ができないことにつながります。そのため、花檀様のプレゼンテーションの中でご説明されている、「防御」、「検知」、「対応」、「復旧」の活動にリソースを提供することも重要なのですが、そもそも情報セキュリティインシデントの発生は、情報資産に対する何らかの脆弱性が悪用されることから攻撃が開始されるため、適切に脆弱性に対応していれば、攻撃を被ることが低減され、その結果として、情報セキュリティインシデントが発生しにくい環境を手に入れることができるようになります。

この考え方はCISSPの共通知識では、「情報セキュリティとリスクマネジメント」と「資産セキュリティ」で取り扱われており、有形資産、無形資産含め、守るべき資産を正確に「特定」していない限り、事業継続に必要な資産を適切に保護することができない知識として解説しています。そのためにも、「特定」の活動に含まれる脆弱性管理を行うことで、組織は情報セキュリティインシデントが発生しにくい環境を手に入れることができるため、優先的に脆弱性管理を実践する必要があります。NISTサイバーセキュリティフレームワークについては、リファレンスが存在していますので、引用元URLを巻末に※1として記載します。なお、日本においては、情報処理推進機構(IPA)様が、日本語で提供しているリソースがあるため、※2として、引用元URLを記載しておきます。

ただし、脆弱性管理の取り組みとなる「特定」の活動は、困難を極めます。CISSPの共通知識としては、膨大な情報資産自体の特定が最も困難な活動と理解しておく必要がありますし、Webinarの中で説明されている通り、組織が保有する情報資産に対する脆弱性の数も膨大になってきているため、「特定」の活動は容易に実践できるものではありません。現在の組織は、業務基盤に対して「モバイル、仮想化、クラウド、IoT」等様々な情報技術を積極的に採用していることが、組織の情報資産が膨大に増えていることにつながり、結果として、攻撃対象となる脆弱性が増えていっていることになっていると考えらえます。

実際、どれくらい脆弱性の数が膨大なのかというと、花壇様のプレゼンテーションの中で、2018年に新たに発見された脆弱性の数は、16,500を超え、内訳としては、一般的に組織が脆弱性対応の必要があると判断されやすい「CriticalまたはHigh」の脆弱性が「9,500以上」で59%、「Critical」の脆弱性が「2,500以上」で15%、また「Exploit Codeが公開されている」脆弱性は、「1,100以上」の7%になるということです。僕自身、これだけ CVSSベースで一般的に対応が必要とされる脆弱性が2018年に発見されていたことを知らなかったため、その事実について驚いたことに加え、果たして、これだけの数の膨大な脆弱性を、組織がどのように具体的・現実的に脆弱性管理を実施できるのか疑問に思えてしまいました。もちろん、組織が保有するホスト台数は、組織に応じて異なってきますので対応する脆弱性の数も変化していきますが、花壇様のプレゼンから、ホスト数が600以上になった場合、人手による脆弱性の管理は不可能ということが紹介されておりましたが、その統計資料は、共感できる内容でした。

それは、人手による脆弱性管理は、人が脆弱性診断をツールや手動で実施した後、出力されたレポートを何かしらの指標で人手により分析(CVSSスコア等)を行い、組織の脆弱性管理ポリシーにもとづき対応をしていくという活動になります。この作業では、CVSSスコア等の指標に応じて、発見された脆弱性に対応するパッチを順次適用していく必要があります。しかし、このアプローチでは、組織が本来低減しなければならない脆弱性に関するパッチの適用が実現できない可能性があることに加え(脆弱性はあるものの攻撃可能性が現時点または直近で発生可能性が無い脆弱性に優先的に対応してしまう等)、CVSSスコアは小さいものの、脆弱性が万が一攻略されてしまった場合、情報資産に対する影響度が大きい脆弱性が存在する場合、最も保護したい資産価値が高い情報資産に対する脆弱性対応が後回しにされてしまう可能性もあります。

そのため、Tenable様は、最新の脆弱性管理アプローチとして、優先的に対処すべき脆弱性 「VPR( vulnerability priority rating))とアセットの重要度「 ACS(Asset Criticality Rating))からリスクの総合評価「 CES(Cyber Exposure Score)」を行い、優先的に対応する脆弱性を特定していくリスクベースの脆弱性管理の仕組みの提供を行っています。Tenable様のソリューション(tenable.io/tenable.sc)では、機械学習と脅威インテリジェンス(脅威の最新性、脅威の勢力、攻撃の可能性、脆弱性の鮮度、脅威ソース等」を活用することで、現実世界のリスクに基づいて脆弱性の優先順を計算、変更し、優先的に対処しなければならない脆弱性を判定することが可能です。その結果、リスクベースの脆弱性管理を行うことで、3%まで脆弱性対応が必要なパッチを抑えることができるため、具体的・現実的に脆弱性管理を組織が行えるようになります。さらに、現時点では成長段階の技術と触れておりましたが、組織特有のアセットの重要性(ビジネスの価値と重要度の指標)を加味したリスクの総合評価の実現に向けるソリューションの提供を行う仕組みが順次提供されているということです。

CISSPのリスクマネジメントの共通知識では、組織の情報資産を特定した後、資産価値を決定し、その情報資産に対して対応しなければならない脆弱性が発見された場合は、実際に脆弱性を攻略する影響がある脅威と攻撃機会をさらに特定する必要があります。その後、万が一脆弱性が攻略された場合に発生する具体的な情報資産に対する影響を見極め、経営陣がリスク受容できない脆弱性については、費用対効果の元、脆弱性対応を行い、最終的に経営陣がリスク受容している脆弱性を明らかにし、経営陣が動的に残存リスクを把握できる仕組みを用意する必要があります。CISSPには、資産価値が高い情報資産に対する脅威と脆弱性に対する動的リスク分析を行う仕組みを経営陣に提供する役割が存在するため、今回のTenable様が紹介されたリスクベースの脆弱性管理アプローチは、CISSP的なリスクマネジメントの考え方を具体的・現実的に実践するための1つの手段として採用できることが今回のWebinarを通じて理解することができました。特に、リスクの総合評価(CES)の状態を可視化させているダッシュボード機能は、全体の脆弱性管理の取り組み状況を経営陣と共有することが動的に可能になるため、CISSP的なリスクマネジメントの考え方を技術で実装することができるソリューションの1つとして認識することができました。

最後になりますが、僕自身としても、従前まで存在している脆弱性管理の手法は、今後も増え続ける情報資産と脆弱性の管理の前に淘汰されると予測します。また、CISSP的な考え方としても、経営陣を巻き込んだ経済合理性に優れた動的なリスクマネジメントが要求されておりますので、CVSSベースの脆弱性管理に加えたリスクベースの手法の採用が検討することが必要と考えます。さらに、Webinarの中で、「Gartner」様の調査結果として、「80%を超える組織が、2022年までにリスクベースの脆弱性方法を使用」すると紹介されております。ぜひ、この機会に、皆様の組織においても、一度、リスクベースの脆弱性管理アプローチに関する知識と技術の調査を行うことを推奨致します。

いかがでしたでしょうか。今回は、「Tenable」様のWebinar「人手による脆弱性管理の限界と最適な解決策」をCISSPの共通知識分野に紐付けて考えてみました。Webinarでは、より具体的に「VPR」や「ACR」についての解説やダッシュボードのスライドが掲載されておりますので、是非、Webinarを視聴してみてください。また、「Gartner」様の詳細情報については、「Gartner Research」からの入手が必要です※2。

最後に、ISC2が提供するWebinarは、ISC2メンバーまたはそれ以外の方、どなたでも視聴することができますので、是非、みなさんの組織で有効活用していただきたいと思います。Webinarはオンライン視聴だけではなく、Webinarの講演資料やスポンサー様が公開しているホワイトペーパー等をオフラインで確認することもできますので、お時間があるときにWebinarのトピックをISC2 CBK(共通知識分野)に紐付けて読み解いていくことが可能です。また、ISC2メンバーでない方は、Webinarを通じて、グローバルスタンダードにおけるCBK(共通知識分野)に触れていただければと思います。さらに、興味がわきましたら、CISSPチャレンジセミナー、SSCP 1Day セミナー、(ISC)² Nightにお越しいただけると嬉しいです。

※1 NIST CYBERSECURITY FRAMEWORK
https://www.nist.gov/cyberframework https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf

※2 Gartner research
A Guide to Choosing a Vulnerability Assessment Solution
Published: 03 April 2019
ID: G00341448
Analyst(s): Craig Lawson , Mitchell Schneider , Prateek Bhajanka
https://www.gartner.com/en/documents/3906374/a-guide-to-choosing-a-vulnerability-assessment-solution