【第二回】実践に学ぶ!サプライチェーンリスク 統合的ソフトウェア脆弱性対策の基本
サプライチェーンリスク管理において欠かすことのできない、ソフトウェア脆弱性対策。第二編は、ソフトウェア・ユーザ企業の立場で「事業を守れる脆弱性対策」の全体像を捉え、技術的な対策ポイントを解説します。
本当に事業を守れるソフトウェア脆弱性対策とは?
企業活動のあらゆる側面においてソフトウェアの機能が欠かせなくなり、事業基盤の一部となった現代。ソフトウェア脆弱性が「悪意ある行為者」の手にかかった場合、事業の根幹を揺るがしかねません。とくに、生産・製造・デリバリー工程などサプライチェーンにおいて、ソフトウェア脆弱性が悪用された場合の被害が大きいことは周知のとおりです。あらゆる企業は、ソフトウェア・ユーザとして、その脆弱性管理に努めねばなりません。
さて、このようなコンテクストにおいてソフトウェア脆弱性対策を考えるとき、企業内のどの組織が、どのように関与すれば有効な戦略・施策が検討できるのでしょうか。私たちセキュリティ管理・統括組織の関与はもちろんですが、事業を推進する組織の関与がそれ以上に重要であることは間違いありません。なぜなら、事業上重要な資産の在処と、それらがどの程度重要であるかは、事業を担う部門が把握していることだからです。セキュリティ統括組織は、事業側の優先事項をよく理解してこそ、その資産を守るための戦略や施策を適切に検討することができます。この点については、以前お話した「3ラインディフェンス」の考え方で詳しく解説しています。※1
つまるところ、セキュリティ統括組織はリスク管理やセキュリティ技術の専門家として、事業推進部門を主体とした組織全体の動きを支援すると、有効な防御ができると言えます。今回は、前者の部分であるセキュリティ統括組織のリスク管理について、技術的対策を交えて解説します。
自動化ツールの活用で、「一元化」を実現する
ソフトウェア脆弱性のニュースを受けたとき、セキュリティを担う組織がいち早く行うべきことは何でしょうか。言うまでもなく、影響範囲を迅速に特定し、修正プログラム適用範囲と優先度を決めることです。そのためには、ソフトウェア資産の一元管理を行うことが必要となります。一元管理ができれば、どこにどのようなデバイスがあり、どんなOSのどんなビルドで、そんなアプリケーションが利用されているのかが常時把握できます。攻撃標的となっているような緊急度の高い脆弱性が出現した場合には、修正プログラムの適用範囲を即座に判断することができるでしょう。しかしながら、特に大きく複雑な組織においてこのような仕組みを設けることは「言うは易し、行うは難し」です。
一元管理を実現するために私がまずお勧めするのは、管理プロセスにおいてフォレンジックを行う際のトリアージ型のアプローチを活用することです。図1に示すとおり、このアプローチにおける第一段階は「(迅速な)情報収集」です。「Sweep Discovery」にあるように、ファスト・フォレンジックと呼ばれるような機械的に情報収集ができるツールの利用や、仕組みを作っておくと、短期間に必要な情報を得る必要があるとき強力な助けになります。
いざというとき効果を発揮する、自動化ツールの応用 また、こうしたツールの活用は、インシデント対応にも役立ちます。関連するIOC(Indicator of Compromise)情報を取得し、感染が疑われる端末を機械的に洗い出して調査を行うことが可能です。また同様に、このようなツールを使ってデータを収集することは、通常のセキュリティ監査にも役立ちます。下記の図3に示すようなフローで、定常的に情報を収集し、日々更新される脆弱性情報と相関分析していくと、リスクのある端末やアプリケーションの特定がしやすくなります。
上述の「情報収集ツール」は、下記図2の「ホストやネットワーク(NW)情報取得」のボックス部分に該当します。こうしたツールは、例えばWindowsのPowerShellなどを利用するなど、ネイティブツールを活用することで代用することもできます。従って、高度なプログラミング知識がなくとも、比較的容易に作成することも可能といえます。
次回最終回では、脆弱性対策において欠かすことのできない組織的な施策について解説します。
※1 : 緊張が高まるサプライチェーンセキュリティリスクへの備えを 今CISOが果たすべき役割とは
https://www.trendmicro.com/ja_jp/jp-security/22/a/preparing-for-supplychain-security-risk.html
清水 智
トレンドマイクロ株式会社
日本地域CISO
2002年トレンドマイクロ入社、製品開発部門、セキュリティのコアテクノロジー部門での品質マネジメントや事業継続マネジメントの責任者を歴任。2012年より統合型リスクマネジメントの重要性を認識し社内に専門チームを発足。大規模スポーツイベントのセキュリティ、サイバーセキュリティ、リスクマネジメント、人材育成などのマネジメント領域における専門家。2020年10月よりトレンドマイクロ・日本本社のCISOを務める。
政府へのセキュリティ政策提言、INTERPOL向けサイバー犯罪捜査官育成などに携わる。一般社団法人サイバー犯罪捜査・調査ナレッジフォーラム代表理事、一般財団法人日本サイバー犯罪対策センター(JC3)理事、国際刑事警察機構グローバルサイバー犯罪専門家委員会委員なども務める。
Security GO新着記事
RansomHubとは?~2024年に登場した新興ランサムウェア攻撃者グループ
(2024年12月26日)
ランサムウェア攻撃者グループ「LockBit」の摘発の影響と今後
(2024年12月25日)
