出典:Michael Burrell(Alamy Stock Photo経由)
論説
英国国家サイバーセキュリティセンター(UK National Cyber Security Centre)による定義では、脆弱性とは 「攻撃者が攻撃を成功させるために悪用できるITシステムの弱点です。これらは欠陥、機能、またはユーザーエラーによって発生し、攻撃者はそれらのいずれか、または複数を組み合わせて最終的な目的を達成しようとします。」
Verizonの最新の「データ侵害調査報告書」によると、ソフトウェアの脆弱性が企業システムへの侵入経路としてますます狙われており、この攻撃手法は全攻撃の20%を占め、前年比34%増加しています。同様に、IBMのX-Force 2025脅威インテリジェンスインデックスでは、昨年、重要な業界で発生したインシデントの4分の1以上で攻撃者が脆弱性を悪用したことが判明しました。X-Forceチームはこれを、システムの老朽化やパッチ適用サイクルの遅さに起因するとしています。
これが何を示しているのでしょうか?脅威アクターは周期的にアプローチを変えています。ここ数年は脆弱性が全体の割合として減少していましたが、再び企業システムへの侵入経路として増加しています。新たな問題が発見され、古い問題は未修正のまま残るため、攻撃者はそれらを利用します。
最高情報セキュリティ責任者(CISO)にとって、リソースや予算をセキュリティ全体でどうバランスさせるかは大きな課題です。脅威が多すぎて、すべてを修正するのは不可能です。プロセスの分断や古いシステムの存在により、既存の修正を適用するのも困難です。あるCISOは、チームが重大な脆弱性を指摘しても、変更を強制するためのサポートを得るのはより困難だと語っていました。では、この立場の人々はどうすればその主張を成功裏に進められるのでしょうか?
その一つのアプローチが、脆弱性負債の数値を提示することです。ソフトウェア開発チームには技術的負債という概念があり、これは運用中のソフトウェアが現状問題なく動いているのに対し、システムの更新・保守にかかるコストを指します。脆弱性負債も同様で、IT環境に存在するセキュリティギャップを修正するのにどれだけコストがかかるかを示すべきものです。しかし、この数値をどう算出すればよいのでしょうか?
脆弱性負債の追跡
脆弱性が存在することを知るのは簡単です。しかし、実際に自分の環境でそれらを追跡するのは非常に難しいことです。まず、修正すべき脆弱性の完全なリストを作成するために、自分が保有する資産を包括的に把握しなければなりません。そして、その資産リストを一貫して継続的に最新の状態に保つ必要があります。大多数のCISOにとって、そのレベルの正確さを維持するのはチームにとって困難であり、正確な脆弱性負債の数値を得るのが難しいのです。
次に、すべての負債が同じではありません。高金利のクレジットカードは長期の住宅ローンよりも先に返済しなければなりません。同様に、実際に修正が重要でコストが高い問題と、重要だが優先度が低い問題、リスクがない問題を理解する必要があります。米国国立標準技術研究所(NIST)は、悪用されやすい脆弱性指標の開発計画を発表しており、これにより狙われやすい問題を予測できますが、これはあくまで全体的なデータポイントに過ぎません。特定の組織に特化したものではありません。あるCISOはこう言いました。「私が知るべきなのは、他社ではなく自社にとって重要なことです。」
さらに、何に取り組むべきか分かっていても十分ではありません。どの問題が重大かを細かく分析できても、その情報だけではパッチが適用されたり、修復作業が完了したりするわけではありません。他のチームが自分たちの作業を実行してくれることにも依存しています。
脆弱性負債の数値を算出するには、サイバーリスク定量化(CRQ)を実施し、それぞれの問題がビジネスにどれだけのコストをもたらし、そのリスクがどれほど現実化しやすいかを把握する必要もあります。CISOにとって、この作業はもどかしいものです。これらの問題やコストについて正確な洞察を提供したいのに、確率や可能性の話になってしまうからです。これは、セキュリティオペレーションセンター(SOC)のプロセスと同様に、リスクオペレーションのアプローチが求められます。同じプロセスを適用して、新たな脆弱性を分類・理解・管理するのです。
たとえCRQやIT資産情報の正確な把握が難しくても、始めない理由にはなりません。これは時間とともに改善していく反復的なプロセスであるべきです。最初の段階でリスクを完璧に理解しようとするのは、今日のITの複雑さを考えるとほぼ不可能です。しかし、すべての旅は最初の一歩から始まります。一度始めれば、改善し、より正確にすることができます。
ビジネスに脆弱性負債を説明する
脆弱性負債に金額をつけることは、あなたのオーディエンスにとって不可欠です。そのオーディエンスとは、他のビジネス部門、特に取締役会です。全体の現金価値、そしてこの全体数値の一部として特定の重大リスクの価値を提示することで、ダウンタイムのためのウィンドウや、開発者が新機能よりもパッチ適用に集中することの説得がしやすくなります。また、リスクにさらされている価値を定量化しやすくなります。あるセキュリティリーダーはこう言いました。「セキュリティ問題を修正するために25万ドルを得るのは難しい。しかし、1000万ドルの罰金やそれだけの損害が発生するハッキングを回避するために25万ドルを得るのは?CFOにとってははるかに簡単です。」
脆弱性負債の数値をまとめるには手間がかかります。しかし、脆弱性負債の数値を持つことで、全体的なセキュリティ態勢に現実的な価値を付与し、潜在的なリスクやそれに対する対策を掘り下げて説明できます。合理的な範囲でより多くのサポートや投資を求める根拠となり、高額かつ自分たちの管理外のリスクにはサイバー保険を活用できます。脆弱性負債という概念を使えば、リスク・コスト・対応レベルを他のビジネス部門が理解できる形で測定し、成果を出すために協力が必要な他チームへの指針も示せます。その価値に値段をつけるのは難しいことです。