【第一回】実践に学ぶ！サプライチェーンリスク統合的ソフトウェア脆弱性対策の基本

サプライチェーンリスク　生産活動に深く入り込む「ソフトウェア」の脆弱性
この世に産業が生まれて以来、事業者はサプライチェーンリスクと常に隣り合わせです。これまで、重大なサプライチェーンリスクといえば、市場変動に伴う「安定供給」、「品質」、「価格」といった観点が一番に挙げられてきました。しかし、今それに加えて重要視されるのがソフトウェア面でのインフラリスク、すなわちサイバーセキュリティ・リスクです。エンタープライズリスク・マネジメント（ERM）において、もはやクリティカルなコンポーネントといえるでしょう。

製造設備からEコマース、オンラインサービス展開からバックオフィスに至るまで、いまやすべてのインフラにソフトウェアは深く入り込んでいます。昨今では更に、「モノからコトへ」「モノからサービス商材化」の流れに伴い、いわゆるソフトウェア製造専業の事業者以外でもソフトウェアソリューション・ベンダ化が進んでいるといえるでしょう。そのため、これまで以上に多くの企業において「ソフトウェア・ユーザとしての取り組み」だけでなく、「ベンダとしての取り組み」も重要性が高まっています。

サイバーセキュリティ事業を生業とする当社も、当然その例外ではありません。多くの企業と同様に、日々セキュリティ課題を抽出し、要所を見極め、強化に取り組んでいます。今回の特集では二回に分けて、当社の取り組み事例を交えながら、脆弱性管理について実践的な手法について紹介します。第一回の今回は、当社のソフトウェア・ベンダとしての取り組みを取り上げます。

ソフトウェア脆弱性は、なぜ危険か？
さて、先に述べたとおり、ソフトウェアのかかわるインフラの重要性は高まる一方であり、従ってその脆弱性が大きな課題となりえます。では、実際脆弱性リスクはどのように露わになるのでしょうか。

ソフトウェアの脆弱性はセキュリティ・ホールとも呼ばれ、悪意ある行為者が悪用すれば、実に様々な犯罪行為の標的となりうるものです。脆弱性は発見された後も、修正プログラム（パッチ）を適用されるまでは「エクスプロイト（脆弱性を悪用するツール）」の攻撃対象となり、リスクが高い状態だといえます。中でも脆弱性を解消するための「修正プログラム」が存在しない「ゼロデイ」状態で、エクスプロイトが存在している状態が最もリスクの高い状態です。下記図1は、この関係を整理したものです。

ソフトウェア脆弱性を軽減するために
できる３つのこと
ソフトウェアを開発する者としては、前述のような脆弱性は可能な限り取り除いてからリリースしたいところです。しかし周知のとおり、製品開発や製造において、不良をゼロにすることはできません。ソフトウェアも、出荷後にある程度脆弱性が発見されることは避けられないことです。

しかし、開発プロセスの改善により脆弱性を低減すること、また脆弱性発見時の対応を効率化することで、影響をできる限り小さくすることは可能です。
当社では、以下の3つの取り組みを核として、製品・サービスの脆弱性低減を図っています。

①　開発プロセスの「標準化」：脆弱性対策の最初の一歩は、やはり安全に製品を作ることにあります。当社ではグローバルCISOのリーダーシップの下で、RD-Secと呼ばれるセキュアなソフトウェア・エンジニアリングのための体制・プロセスを整備しています。セキュア・コーディング、脅威モデリング、脆弱性スキャン、部品リスト(SBOM: Software Bill of Materials) の整備などを行い、アプリケーションセキュリティ標準（ISO27034※1）認証を取得しています。

②　リリース後の「迅速な改修」：リリース後は、多岐に渡る製品群に関する脆弱性報告を適切に受け付け、修正プログラムをタイムリーに開発し、デリバリーを行うことが重要です。当社ではPSIRT体制 (Product Security Incident Response Team) を整えて対応しています。特に、複数製品に共通するコンポーネントでの脆弱性の場合は、広い影響が予想されます。修正プログラムのリリースに関する優先度調整や、修正プログラムの不具合を防いで品質を担保するためのQA工程など、複雑な調整を短期間で確実に対応できる体制を整えています。

③　脆弱性リスクをステークホルダーへ「伝える」：脆弱性発見時には、タイムリーに正確な情報をお客様、パートナ様などに伝達し、各所での被害を最小化せねばなりません。当社ではそのためのコミュニケーション・スキームを構築、運営しており、2021年度にはJPCERT/CCからベストレポーター賞（脆弱性部門）を受賞しています。※2
※1 : https://www.trendmicro.com/en_us/about/trust-center/compliance.html
※2 : https://blogs.jpcert.or.jp/ja/2021/12/best-reporter-award-2021.html

コミュニティの力で、脆弱性リスクを軽減する言うまでもなく、脆弱性は「悪意ある行為者」が発見する前に発見することが望ましいです。当社では、脆弱性発見コミュニティのZDI（Zero Day Initiative）※3を運営しています。ZDIは、ベンダを問わない世界最大の脆弱性発見コミュニティとして、セキュリティに携わるすべての研究者に対し、脆弱性の発見と報告を促進する仕組みです。

このような取り組みを通じ、2020年には、新たに報告された脆弱性のうち60%を当社で発見・報告しています。ソフトウェアに依存するインフラが今後ますます拡大する時代においては、このような組織を越えた連携がますます重要となるでしょう。
※3 : https://www.trendmicro.com/ja_jp/about/trendpark/es-direction-zdi-201711-01-01.html

出典Omdia, Quantifying the Public Vulnerability Market: 2021

次回は、当社のソフトウェア・ユーザとしてのセキュリティ取り組みを基に、理想と実態のギャップを踏まえた現実解を探っていきたいと思います。

第二回の記事はこちら

清水智

トレンドマイクロ株式会社
日本地域CISO

2002年トレンドマイクロ入社、製品開発部門、セキュリティのコアテクノロジー部門での品質マネジメントや事業継続マネジメントの責任者を歴任。2012年より統合型リスクマネジメントの重要性を認識し社内に専門チームを発足。大規模スポーツイベントのセキュリティ、サイバーセキュリティ、リスクマネジメント、人材育成などのマネジメント領域における専門家。2020年10月よりトレンドマイクロ・日本本社のCISOを務める。

政府へのセキュリティ政策提言、INTERPOL向けサイバー犯罪捜査官育成などに携わる。一般社団法人サイバー犯罪捜査・調査ナレッジフォーラム代表理事、一般財団法人日本サイバー犯罪対策センター（JC3）理事、国際刑事警察機構グローバルサイバー犯罪専門家委員会委員なども務める。