出典:Borka Kiss at Alamy Stock Photo
論説
自分のソフトウェアに重大な脆弱性が発見され、それが悪用されていることに朝起きて気づき、顧客が危険にさらされ、自分の評判も危機に瀕している――そんな悪夢のような状況を想像してみてください。このような事態は、サイバー脅威が進化する中で、特にゼロデイ脆弱性(開発者が存在を知る前に悪用される欠陥)の増加により、ますます一般的になっています。
「ゼロデイ脆弱性」とは、脆弱性が発見されてからの経過日数が「ゼロ日」であることを指します。このような脆弱性が発見された場合、即座に修正策はなく、組織は問題に対処するために奔走しなければならず、その間に実際に攻撃を受けている可能性もあります。
こうした脆弱性が悪用される前に特定し、緩和することに専念する組織があれば、たとえごく一部しか防げなかったとしても、どれほど心強いことでしょうか。幸い、そのような組織は存在します。問題は、それがいつまで存続するかということです。
CISAの将来は喫緊の課題
2018年以降、サイバーセキュリティ・インフラストラクチャー庁(CISA)は国土安全保障省の一部として存在してきました。その任務は、積極的な脆弱性調査や連邦政府と民間ベンダー間の情報共有を通じて、可能な限りサイバーセキュリティリスクを検出・防止することです。CISAは超党派・非営利の組織であり、地方自治体や州政府、各種団体が最新の脆弱性に関する情報やアップデートを得るために頼りにしてきました。しかし現在、CISAは資金削減と解体の危機に直面しています。
最近、CISAとインターネットセキュリティセンターとの1,000万ドルのパートナーシップが終了したことに加え、CISAの従業員100人以上の解雇が重なり、脅威がますます高度化・巧妙化する中で、重要な情報の安定的な流れが危機にさらされています。一方、CISAが資金提供している共通脆弱性識別子(CVE)プログラムは、土壇場で延長されましたが、当初は打ち切りの兆候もあり、突然の延長後も今後どうなるかは公式発表がありません。さらに、米国連邦政府のサイバーセキュリティ全体のインフラが危機に瀕しており、2015年のサイバーセキュリティ情報共有法も今年9月に更新期限を迎えますが、現政権が更新を優先するかどうかは不透明です。
なぜこれが喫緊の課題なのか。それは、脆弱性対策の成功は、修正策がどれだけ早く開発できるかで測られるからです。CISAのような組織が脆弱性を検知した際に企業と積極的に連絡を取らなければ、各組織は自力で問題を発見するか、最悪の場合はSNSなどで知るしかありません。この遅れが、企業とその顧客の両方を攻撃にさらすことになります。
CISAと連携することで、対応時間は大幅に短縮されます。脆弱性が特定されると、まず情報収集が始まります。「どんな脆弱性か?」「どのように悪用されるのか?」「どのシステムに影響するのか?」「どう対処できるのか?」多くの場合、この調査フェーズは、実際に穴を塞ぐよりも時間がかかることがあります。CISAの勧告は詳細な分析を提供し、脆弱性がどのように再現されたか、何を確認すべきか、ネットワーク内で検索すべき具体的なクエリまで示します。このレベルの詳細さが発見プロセスを加速し、解決に近づけてくれるのです。
CISAなき世界?
セキュリティ研究者やバグバウンティプログラムが脆弱性の特定や責任ある情報開示に重要な役割を果たしているのは間違いありませんが、CISAや他の国家レベルのサイバーセキュリティ機関が存在することで、かけがえのない保護層が加わります。CISAがリスクを減らしているかどうかは明白です。本当の問題は、CISAのような組織なしで私たちはやっていけるのか、ということです。
ゼロデイ脆弱性は昔から存在し、これからもなくなることはありません。悪意ある攻撃者にとって、発見した脆弱性をすぐに悪用するか、より大きな攻撃のために温存するかは戦略的な判断です。一方、CISAが脆弱性を特定した場合は、責任ある組織に積極的に通知し、悪用される前に対策を講じることができます。まさに、CISAはサイバーセキュリティの縁の下の力持ちです。
CISAはビジネス上の目的や利益相反なしに活動しており、その唯一の目的は支援です。多様なベンダーや知見にアクセスできるCISAは、各組織が自分たちだけでは得られない包括的な視点から脆弱性への指針を提供します。これをどうやって代替できるでしょうか?
今日の政府機関を取り巻く不透明感、特にCISAの活動範囲を制限する措置がすでに取られていることを踏まえると、代替策を検討する時期かもしれません。サイバーセキュリティの現場にいる私たち自身が、互いに協力し合い、自分たちと仲間を守る必要があります。ネットワークを育み、競合組織の担当者にも連絡を取り、信頼と協力の基盤づくりを始めましょう。
それは容易なことではありません。サイバーセキュリティ分野の競争は激しく、違いを乗り越えて脆弱性の特定や対策に協力するのは簡単ではありません。しかし、連邦機関の支援が期待できない今、自分たちの力で自分たちを守るしかないのです。AWS、Honeywell、Mastercardを含む世界45の組織のCISOが最近協力強化と規制の統一を求める書簡に署名したように、私たちのサイバーセキュリティのニーズに応える解決策を見つけることへの圧力はこれまで以上に高まっています。
ますます危険が増すサイバー環境に直面する今、CISAの復活と強化を訴えることが不可欠です。私たちが協力と警戒の文化を育み、誰かが助けてくれるのを待つだけでなく、自分たちとコミュニティを守るために積極的に行動していくことが重要です。