脆弱性対応を「攻撃可能性」の観点で優先順位付けした場合はどうなる？

脆弱性対応の優先順位付けに「攻撃可能性」は現実的か?

　日々大量に公開される脆弱性への対応に適切な優先順位付けをしたいと考えているセキュリティ担当者はとても多いのではないかと思います。そのような中、米セキュリティ企業ShiftLeftは、「攻撃可能性（attackability）」の観点で優先順位付けをすべきであるとする調査報告書「2022 AppSec Shift Left Progress Report」を公開しました。これは2021年5月1日から2022年4月20日までの約1年間のデータを調査分析したものです。

　報告書によれば、ソフトウェアサプライチェーンのリスクに関わるオープンソースソフトウェアについて、脆弱性のあるソフトウェアが使用されている環境のうち、その脆弱性が攻撃者によって実際に「攻撃可能（attackable）」であるのは3%に過ぎないのだそうです。

　さらに具体例として、2021年12月に公開されて世界的に大きな騒動となったApache Log4jの脆弱性「Log4Shell（CVE-2021-44228）」について興味深い調査結果を紹介しています。Log4jが使用されている環境に対してShiftLeftがデータの流れを調査分析した結果、実際に攻撃が可能、つまり真に「脆弱」だったのは4%に過ぎないことが判明しました。この調査結果により、ShiftLeftの顧客はLog4Shellへの対応コストを大幅に減らすことができたそうです。

　この結果は本連載の2021年5月の記事で紹介した米セキュリティ企業Contrast Securityの調査報告書と本質的に同じです。アプリケーションに含まれているライブラリなどに脆弱性があっても、その脆弱性を発生させる部分がそもそも使われていなければ、そのアプリケーションは脆弱ではありません。しかし、簡易な脆弱性診断では脆弱なライブラリを含んでいるというだけでアプリケーション自体も脆弱と見なされてしまう、つまり「偽陽性」判定されてしまうわけです。

　確かに、オープンソースのライブラリなどの一般的な使用環境において攻撃者が到達できない脆弱性は存在しますし、必ずしも全ての脆弱性に対応する必要があるわけではありません。また、ライブラリに限らず、悪用に明確な前提条件がある脆弱性については、使用しているシステムに対してその条件が当てはまらないのであれば、基本的に対応は必須ではありません。このように、ShiftLeftが指摘している「攻撃可能性」の観点が対応の優先順位付けにおいて意味があるのは間違いないでしょう。しかし、このような攻撃可能性判定による優先順位付けは一般的に実現可能なものなのでしょうか?

　今回のShiftLeftの報告書に対し、英セキュリティメディア「Dark Reading」はセキュリティ専門家の意見を紹介し、攻撃可能性判定にはライブラリ等の依存関係のトラッキングが重要なのはもちろん、「良質な（good）」脆弱性データが必要であり、その入手方法が極めて重要であるとし、攻撃可能性判定はShiftLeftが言うほど容易なことではないと指摘しています。その上で、ソフトウェアサプライチェーンに対する最大の脅威はオープンソースに対する悪意のある意図的な攻撃（悪用を目的としたコードの挿入・改ざんなど）であり、これは我々が注目すべき最も大きな問題で、攻撃可能性とは全く関係がないと結んでいます。

　今回のShiftLeftの調査報告書自体は大変興味深い内容で、「攻撃可能性」の観点の重要性を示すデータとしては十分に意味のあるものです。しかし、現在の複雑化したさまざまなアプリケーションにおいてライブラリなどの依存関係を「完璧に」トラッキングし続けるのは容易ではありません。また、日々大量に公開される脆弱性の全てについて攻撃可能性をそれぞれ判定するコストと、パッチを適用するなどの実際の対応作業コストとのバランスを考えると、優先順位付けの方法として攻撃可能性判定は、少なくとも現時点では、最善のものとは言えないですし、現実的ではないでしょう。もちろん、将来的に攻撃可能性判定が容易に、かつ正確に行える仕組みが生まれる可能性は否定できませんし、期待はしてもよいかもしれません。なお、ライブラリ等の依存関係についてはSBOM（Software Bill of Materials：ソフトウェア部品表）が一般的に推奨されています。また、MicrosoftはSBOMを作成するために社内で使用しているツール「Salus」をオープンソース化して公開しています。

韓国国家情報院の白書から見る韓国のセキュリティ事情

　韓国の諜報機関である国家情報院は「国家情報保護白書」の2022年版を公開しました。国家情報保護白書は2002年から毎年公開されているもので、科学技術情報通信部、行政安全部、個人情報保護委員会、金融委員会、外交部などとともに、韓国における情報保護に関する総覧として作成されています。

　今回公開された2022年版では、2021年の情報保護10大課題を紹介しています。

　ほとんどは韓国に限定されない一般的な内容ですが、最後の2点だけは「韓国ならでは」のものとなっています。

　まず、9番目の項目にある「国家グローバルサイバーセキュリティ指数」は、日本ではさほど注目されていませんが、国連の専門機関の1つである「国際電気通信連合（ITU:International Telecommunication Union）」による、各国のサイバーセキュリティのレベルに対する定量的評価体系で、その2020年の結果は以下のようになっています。

• 国際電気通信連合（ITU:International Telecommunication Union）
  Global Cybersecurity Index 2020
  https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2021-PDF-E.pdf

1.米国
2.英国、サウジアラビア
3.エストニア
4.韓国、シンガポール、スペイン
5.ロシア、UAE、マレーシア
6.リトアニア
7.日本
8.カナダ
9.フランス
10.インド

　最後の項目にある「情報保護公示義務制度の導入」とは、2021年12月に「情報保護産業の振興に関する法律」を改正したことを指しています。情報保護公示制度は企業の情報保護に関する投資、人材、認証などの関連活動情報を一般公開する制度で、2016年から自律制の形で運営されていましたが、今回の改正により、一定規模以上の企業に対して情報公開が義務化されました。これにより、企業は自社の信頼性向上のために情報保護分野に対する投資を拡大することが期待されています。

　また、「セキュリティ適合性検証制度の革新」とは、2021年5月に「情報保護製品評価・認証実行規定」を改正し、セキュリティ適合性検証制度の要件を緩和したことを指しています。このセキュリティ適合性検証制度は、公共機関が導入する情報保護システムおよびネットワーク機器などのセキュリティ機能が搭載されたIT製品などの安全性を事前に検証する制度で、今回の改正により、手続きに時間がかかりすぎるなどと批判されていた検証を一部の製品群に対して省略し、セキュリティ機能確認書だけで済ませることができるようになりました。

　両者ともに確かに「情報保護産業投資の活性化」には繋がるかもしれませんが、純粋にセキュリティの観点から言えば、少々疑問が残ります。しかし韓国の場合は、新しい制度を積極的に導入し、問題があれば修正して行く、場合によっては廃止してしまうというフットワークの軽さがあるので、運用して行く中でこれから「微調整」されて行くのではないかと思います。動向は見守っていく必要があるでしょう。

　ちなみに、今回の白書では2022年の展望も紹介しており、その内容は以下のようになっています。