脆弱性管理のガイドライン「NIST SP 800-40」を紐解く

増大する脆弱性の脅威ITシステムやソフトウェアを利用するうえで、ソフトウェアの脆弱性（サイバー攻撃につながるセキュリティ上の欠陥）対策は避けて通れないものです。法人組織はWebサーバやメール、ネットワーク機器をはじめ、何かしらのシステムを利用していることから、ITシステムやソフトウェアを利用することは、ビジネスを遂行するために必要な条件とも言えます。このことは、ソフトウェアの脆弱性がビジネスにもたらす影響（リスク）が高まっているとも言えます。脆弱性を悪用されると、不正アクセスや情報漏洩など事業継続をも左右する多大な影響を受けることになります。
実際、トレンドマイクロが運営する脆弱性発見コミュニティ「ゼロデイイニシアティブ（ZDI）」が、2022年上半期に公開した脆弱性のアドバイザリのうち、緊急（Critical）の脆弱性は昨年同期比で5倍（16件→80件）と急増しています。また、重要（High）も約16.6％（553件→645件）増加しました（図1）。これは、組織が脆弱性を残存させた場合に、被害が大きくなる可能性が高いことを示しています。

図1：2021年上半期と2022年上半期にZDIが公開した脆弱性に関するアドバイザリの深刻度別（脆弱性のCVSSに基づく深刻度別）内訳

脆弱性を悪用するサイバー攻撃が起こると、企業の重要な情報が外部に漏洩する、またはECサイトが停止してしまい売上損失につながる、などの被害を受けます。また、近年脆弱性が発見されてから悪用されるまでの日数が早くなっている傾向があります。脆弱性がすぐに悪用された事例として、脆弱性が発見された3日後に、国内のクラウドベンダに対してその脆弱性を悪用する攻撃があったとする報道がありました。脆弱性が発見され、修正プログラムがベンダから公開された時には、できる限り早く修正プログラムを適用することが求められます。

脆弱性管理のガイドラインNIST SP 800-40発見された脆弱性の根本的な対応は、ベンダから提供される修正プログラムを適用することです。ソフトウェアの脆弱性に修正プログラムの適用を素早く、漏れなく、適切に行うためには、組織は何をしなくてはいけないのでしょうか。本記事では、「修正プログラムおよび脆弱性管理に関するガイドライン」であるNIST SP 800-40を参考に、脆弱性管理の推奨プロセスを解説します。

まずは、簡単にNISTのSP800とはどのようなものか触れておきたいと思います。アメリカでは、Federal Information Security Management Act of 2002（連邦情報セキュリティマネジメント法)、通称FISMA（フィスマ）という法律が制定され、連邦政府機関や、連邦政府機関の外部の業務委託先は、情報セキュリティ対策の実施が法律で義務付けられています。FISMAに準拠するガイドラインとして発行されたのが、NIST SP 800シリーズです。NIST SP 800シリーズは連邦政府機関や、連邦政府機関の業務委託先が参照するために作られたものですが、民間企業にとっても自社のセキュリティ対策を検討する際に参考となるガイドラインといえます。

NIST SP 800-40は、組織が脆弱性管理を行うときに推奨される、管理プロセス、組織体制などが纏められています。いくつかのバージョン（改訂版）があり、日本語ではバージョン2をIPAが提供しています。最新のバージョン4はNISTのWebサイトからダウンロードできます。

バージョン2が74ページ、バージョン4が28ページです。バージョン2を、IPAが公開したのは2007年で、Code Red、Nimda、Blaster、MyDoomなど当時流行していたマルウェアの記載があるなど、当時のITの状況を踏まえた記載ですが、非常に詳細が纏められており、現在のセキュリティ対策の参考になる点も大いにあるため、脆弱性管理に携わる方であれば一度全体をご覧頂くとよいといえます。次項では、NIST SP 800-40で言及されているポイントを、バージョン2をベースにいくつか抜粋して紹介します。

「NIST SP 800-40」で解説しているポイント＜修正プログラムおよび脆弱性管理を行うグループの設置＞冒頭に脆弱性管理を行うグループであるPVG（Patch and Vulnerability Group）を組織内に設置する必要性と具体的な業務内容が言及されています。業務内容としては、組織内のシステムインベントリ（どのようなOSやソフトウェアを利用しているかをまとめたリスト）の作成、対処する脆弱性の優先度決め、修正プログラム適用以外の対処方法、脆弱性管理で推奨するツール（修正プログラムを適用するツールや脆弱性スキャンツールなど）など具体的な項目が列挙されています。

＜脆弱性管理を疎かにした場合の被害＞脆弱性管理を疎かにした場合、甚大な被害が発生することを言及しています。昨今はサイバーインシデントによる法人組織の信用失墜なども考慮することが多々ありますが、ここではシンプルに脆弱性対策を行うコスト（管理ツールの導入費や人件費など）と、脆弱性を悪用されてサイバー攻撃を行われた後の復旧コストを比較しています。

＜脆弱性管理のプロセス＞脆弱性管理を行うグループPVGが行う業務プロセスの流れを11ステップにわけて解説しています。ここでは11ステップ各々の詳細解説は省きますが、自組織のITシステムの棚卸、脆弱性情報の収集、脆弱性対応の優先順位付けをはじめ、行うべきことや考慮すべき点が記載されています。

　１．システムインベントリの作成
　２．脆弱性、修正措置、および脅威を監視
　３．脆弱性修正措置の優先順位付け
　４．組織固有の修正措置データベースを作成
　５．修正措置の一般的なテストを実施
　６．脆弱性に対する修正措置を導入
　７．現場の管理者に対して脆弱性および修正措置の情報を配布
　８．パッチの自動導入を実施
　９．アプリケーションの自動更新を設定
　１０．ネットワークおよびホストの脆弱性スキャンにより脆弱性修正措置を検証
　１１．脆弱性の修正措置についてトレーニング

＜脆弱性管理の効果検証＞脆弱性の数、修正プログラムの対応時間、修正プログラムの適用以外の対処を行った際の対処時間、コスト（ツールの購入費用やツールを利用することで削減できる時間なども含む）の算出など効果検証の方法が記載されています。これにより、自社のセキュリティ成熟度がどのレイヤにあるかも確認でき、組織がどのように脆弱性管理を改善するべきか検討できます。

＜脆弱性管理の留意事項＞NIST SP 800-40では、できる限り修正プログラムの適用を自動化することが推奨されています。具体的には、自社が100台のサーバを運用していた場合、現地（データセンタやサーバルーム）に足を運ぶことや、リモートデスクトップでアクセスして修正プログラムを適用するのではなく、管理ツールから一斉に修正プログラムを配信できるような仕組みの実装です。一方で、組み込みシステム、産業用制御システム、医療機器、実験システムなど、管理ツールが適用できないシステムは、手作業の修正プログラム適用プロセスに関する明文化された手順が必要であることが記載されています。管理ツールを利用する際の留意点の中でも、非常に興味深いセキュリティリスクの例として、「ソフトウェアベンダーが、悪意のコードによって改変されたパッチをエンタープライズ向けパッチ管理ベンダーに配布する可能性がある（Version 2.0,4.1.2,4-3ページ）」という点があげられています。これは2022年時点で多くの法人組織が懸念しているソフトウェアサプライチェーン攻撃に他なりません。
また、（管理ツールの利用に関わらず）各組織が脆弱性管理の労力を軽減するために、留意すべき点も記載されています。その中のひとつには、組織に導入するITシステムを標準化することが挙げられています。要するに、PC、サーバ、OS、アプリケーションなど様々な機器やソフトウェアを組織内で統一することが効率的であるということです。同じ目的にもかかわらず異なるソフトウェアを導入することは管理面で負担になります。標準化を行うことで、脆弱性管理が低コストかつ容易に実施できることが言及されています。

まとめ近年脆弱性の発見数は増加しており、組織にとって脆弱性への対応は、日常的に行わなくてはならない業務といえます。組織が脆弱性管理をよりスムーズに行っていくために、また組織体制を改善していくために、NIST SP 800-40は参考になるガイドラインです。

脆弱性管理は、一朝一夕でできるものではありません。しかし、脆弱性を放置した結果、サイバー攻撃が現実となってしまった場合には、インシデント対応費用だけでなく、組織としての信頼失墜や、取引先や顧客にまで被害が連鎖してしまい、事業の存続の危機に繋がる可能性すらあります。
このような被害を事前に食い止めるためにも、脆弱性管理を行っていくことが重要です。また、脆弱性が発見されてから修正プログラムを適用するまでの間の対策として、仮想パッチ（IDS/IPS）を利用するなど、組織を守るために、日々発見される新たな脆弱性への対応策を事前に行うことが求められます。