出典: designer491 via Alamy Stock Photo
論評
ビジネスは脆弱性管理市場セグメントで大幅に減速していますが、これまで以上に多くの脆弱性に対処しなければならなくなっています。セキュリティの定番企業が同じ厳しい状況を経験しているときは、注意を払う価値があります。
楽観的に見れば、これは成功物語です。彼らは目指していた山の頂上に到達しました。しかし、より現実的には、業界が次の山に登り、より多くの価値を提供するために迅速に自らを再構築する必要があるという最後の警告です。
では、なぜ今日脆弱性管理に課題が見られるのでしょうか?この市場セグメントは、主に3つの理由で自らの重みに耐えきれなくなっています。
1. ベンダーは(言葉遊びですが)間違った山に登ってしまった。
多くのベンダーは、脆弱性を可視化し、追跡できる能力を基盤にビジネスを構築しましたが、彼らがもたらしたリスクには対処されていませんでした。ペネトレーションテストの実施は、監査を満たすための手続き的なステップです。「これだけ広範囲にスキャンしました」と言えることに安心感があります。しかし、時には「多いこと」が「良いこと」ではありません。スキャンの数が増えても、それは単にスキャンの数が増えただけです。それは忙しさを示し、ガバナンス、リスク、コンプライアンス(GRC)プログラムのニーズに対応し、推奨されるコンプライアンス設定がロックダウンされているかどうかを示します。しかし、それは「私たちは安全か?」という問いには答えていません。
さらに、業界が事後評価や問題の指摘を効率化するにつれ、意図しない結果としてアラート疲れが増大し、ノイズの中から重要なシグナルを見つけてリスクに対処することが難しくなりました。「X件の重大な問題を特定し、かつ修正した」と報告できる価値が失われてしまいました。
2. クラウドへの移行だけでは十分ではない。
セキュリティリスクに真に対処するため、業界は自らを再構築し始めています。一部のベンダーは、従来の脆弱性管理の販売から、クラウドを重視した統合リスク管理ソリューションへのビジネスモデル転換に成功し、より良い成果を上げています。基盤やコンテナレイヤーを強化・セキュア化することは、SBOM(ソフトウェア部品表)リスクへの良い対応策であり、クラウド環境での脆弱性管理のより良い方法です。もちろん、これはベンダーの収益にも良い影響を与えます。
クラウドの利点は、クラウドのフットプリントが比較的厳格なコントロールプレーンを持っているため、保護すべき対象や方法にあまりバリエーションがなく、管理すべき要素が少ないことです。Linux、Windows、あるいはMacインフラの強化イメージを取得するのは比較的容易です。しかし、ネットワークインフラにはそれは当てはまりません。
ネットワーク機器は、ハードウェア、ソフトウェア、ファームウェアが混在した異種混合体です。アーキテクチャは、独自OSを搭載したレガシースイッチから、オープンソースのネットワークOSを使用する最新のホワイトボックスシステムまで多岐にわたります。複数の機器に認定された専門家を見つけるのは困難、あるいは不可能です。さらに、多くの組織は複数ベンダーの何世代にもわたる機器を保守する必要があります。従来の脆弱性管理ベンダーはこの複雑さに迅速に対応できず、クラウドに特化したベンダーも範囲外です。
3. ネットワークエッジ機器が新たな侵入口となっている。
脅威アクターはますます、アクセスを遮断するはずのエッジやネットワーク機器の脆弱性を悪用して侵入しています。これらの機器が侵害されると、攻撃者はネットワーク内を横移動し、より深部へと進むことができます。
2023年から2024年にかけて、脆弱性を悪用されたエッジ機器の割合は3%から22%へ増加しました。さらに、2024年に最も多く悪用された脆弱性のうち3つは、エッジ機器に影響するゼロデイであり、具体的には以下が含まれます:
-
Palo Alto Networks GlobalProtect コマンドインジェクション脆弱性(CVE-2024-3400として追跡)
-
Ivanti Connect Secure VPNの脆弱性(CVE-2023-46805, CVE-2024-21887, CVE-2024-21893)で、認証なしコマンド実行が可能となる脆弱性連鎖
-
Fortinet FortiClient EMSのSQLインジェクション脆弱性(CVE-2023-48788)で、データ窃取やランサムウェア展開に悪用
組織はネットワーク機器の脆弱性を積極的にパッチ適用していますが、昨年は54%しか完全に修正されず、中央値で32日かかりました。その一方で、脆弱性が悪用されるまでの平均時間は5日に短縮されています。
今後の道筋
攻撃対象領域は拡大し、脆弱性の数は増加し、悪用までの時間が修正までの時間を上回っており、リスクは高まっています。
ネットワーク機器は常に脅威にさらされており、ネットワークはビジネス継続の要です。もはやネットワーク機器の脆弱性をスキャンレポートの11~15ページの付録情報として扱う余裕はありません。また、深い専門知識と人手による対応が必要なブラックボックスとして受け入れるべきでもありません。
組織は重大な脆弱性の修正支援を求めています。ベンダーが次の山に登って価値を提供しようとする中、ネットワーク機器の脆弱性を緊急性の高いものとして扱い、修正の複雑さを吸収するアプローチが必要です。ネットワーク機器の保護をオーケストレーションし自動化するソリューションが正しい道を示します。具体的には:
-
自社のネットワークリスクに関するインテリジェンスに基づき、修正すべき事項を優先順位付けする
-
自動化を取り入れ、重要な問題の修正やワークアラウンドの展開を支援する
-
脆弱性が修正されたことを二重に確認し、ループを閉じる
チームは自分たちに脆弱性があることを認識しており、対応が追いつかないことも理解しています。重要なことに対応し、「はい、私たちは安全です」と答えられることこそが価値なのです。