共同ガイダンスは、AIが脆弱性発見を加速させ脆弱性管理への圧力を高める中で、ソフトウェアベンダーがセキュリティ研究者とどのように連携すべきかを示すもの。
米サイバーセキュリティ・インフラセキュリティ庁(CISA)と海外の4つのサイバーセキュリティ機関は、ソフトウェアメーカーおよびオンラインサービス提供者に対し、協調的脆弱性開示(CVD)プログラムの構築を促すガイダンスを公表しました。セキュリティ研究者との体系的な連携が、脆弱性管理と製品セキュリティの向上につながると述べています。
このガイダンス「セキュリティ研究者と連携するための協調的脆弱性開示プログラムの構築」は、米国家安全保障局(NSA)、日本のJPCERTコーディネーションセンター(JPCERT/CC)、オランダの国家サイバーセキュリティセンター(NCSC-NL)、英国の国家サイバーセキュリティセンター(NCSC-UK)と共同で発表されたもので、ソフトウェア、ハードウェア、ネットワーク製品に関する脆弱性報告を受け付け、評価し、対応するための公開プログラムの構築方法を示しています。
このガイダンスによれば、明確に定義されたCVDプログラムを持つことで、ソフトウェアメーカーやオンラインサービス提供者は潜在的なリスクをより的確に評価し、脆弱性管理プロセスを改善し、製品セキュリティを強化するための情報に基づいた判断を下せるようになるとしています。
CISAは、このガイダンスが同庁のSecure by Design構想を支えるものだと説明しています。この構想は、技術提供者がより安全な製品を構築し、脆弱性の発見と修正についてより大きな責任を負うよう促すものです。
CISAでサイバーセキュリティ担当の執行副長官代理を務めるクリス・ブテラ氏は、「協調的脆弱性開示は、安全なソフトウェアエコシステムを構築する上での基盤となるものです」と声明で述べました。
ブテラ氏は「この手引きに示された実践は、顧客の保護と製品の強化につながるとともに、企業が技術の構築・維持において透明性と責任を持つよう促すCISAのSecure by Design構想を後押しするものです」と述べています。
効果的な開示プログラムの構築
このガイダンスでは、研究者が脆弱性をどのように報告できるか、どのようなテスト活動が許可されるか、報告がどのように扱われるか、評価プロセス全体を通じて研究者が何を期待できるかを明記した、明確な脆弱性開示ポリシーを組織が公開することを推奨しています。CISAは、研究者との連絡を継続することがプロセスの透明性を保ち、ベンダーとセキュリティ研究コミュニティとの信頼構築につながると述べています。
サイバーセキュリティ企業Tuskiraの共同創業者兼CEOであるピユシュ・シャルマ氏は、このガイダンスが研究者とセキュリティチームの双方にとって重要な運用上の課題に対応するものだと述べています。
シャルマ氏は「CISAが脆弱性開示には明確なプロセスが必要だと強調しているのは正しいことです」と述べています。「研究者は不具合をどこに報告すればよいかを知る必要があり、セキュリティチームは調査結果を検証・優先順位付け・修正するための明確な責任所在を必要としています」
AttackIQのアドバーサリー・リサーチ・チームでエンジニアリングマネージャーを務めるアンドリュー・コスティス氏は、報告経路の確立はプロセスの始まりに過ぎないと述べています。
コスティス氏は「研究者が脆弱性を報告できる明確な経路を作ることは素晴らしい第一歩ですが、本当の作業はその報告が届いてから始まります」と述べています。「セキュリティチームは、その弱点が攻撃者にどのようなアクセスを許し得るのか、そしてどれほど緊急に対処すべきかを把握しなければなりません」
CISAによれば、セキュリティ研究者はソフトウェアメーカーやオンラインサービス提供者が悪用される前に弱点を特定する助けとなり得ますが、それには組織側が脆弱性を報告するための明確で安全な仕組みを提供することが前提となります。
大規模な脆弱性の優先順位付け
シャルマ氏によれば、このガイダンスが発表された背景には、AIを活用した脆弱性発見によって、企業のセキュリティチームが評価・修正すべきセキュリティ調査結果の量が増加していることがあります。
同氏は「課題は、AIを活用した脆弱性発見によって開示件数が増加するスピードに、大半の組織が手作業での評価では追いつけなくなっていることです」と述べています。
シャルマ氏は、開示されたすべての脆弱性を同等に緊急のものとして扱うのは避けるべきであり、代わりにその不具合が到達可能な攻撃経路を生み出すかどうかを見極め、露出している資産を特定し、修正作業が進む間に既存の制御策で攻撃を阻止できるかどうかを評価すべきだと述べています。
コスティス氏も同様の見解を示し、脆弱性管理は深刻度スコアだけでなく、悪用可能性に焦点を当てるべきだと述べています。
同氏は「脆弱性を個別の発見事項として扱ったり、深刻度だけで優先順位を付けたりすることはできません」と述べています。「チームは、ある弱点が自社環境の他の部分とどう結びついているか、そして重要システムへの実行可能な経路を生み出すかどうかを理解する必要があります」
パッチが提供されていない場合でも、シャルマ氏は代替の制御策を検証することで、修正が完了するまでの間、企業のリスクを大幅に軽減できると述べています。
コスティス氏は、組織は脆弱性にパッチが適用されたことを確認するだけでなく、修正によって悪用可能な攻撃経路が実際に排除されたかどうかも検証すべきだと述べています。
同氏は「チケットを閉じることは一つのことです」と述べています。「攻撃経路が断たれ、その修正が現実の攻撃者の行動に対して有効であることを証明するのは、また別の話です」