トレンドマイクロ製品の安全性・透明性向上のための5つの取り組み 第4回~トレンドマイクロ製品の脆弱性に関する品質向上の取り組み~
「当社製品の品質・透明性・安全性の向上」のための取り組みを行うサイバーセキュリティ・イノベーション研究所の最前線のノウハウを連載形式でお伝えする連載企画。第4回は、トレンドマイクロ製品の脆弱性に関する品質向上の取り組みです。
トレンドマイクロ製品の脆弱性への対処と3つの取組み
トレンドマイクロを含む多くのソフトウェアベンダーでは、高い品質とセキュリティ基準を満たす製品の開発とリリースを目指しています。しかし、製品のリリース後に様々な理由により意図しないバグが発見されることがあります。また、セキュリティ上悪用され得るバグは、「脆弱性」となってしまうこともあります。ソフトウェア開発時の設計思想や想定では、考慮できていなかった部分が後からこうした形で現れることがほとんどです。
当社の製品で脆弱性が発見された際には、迅速に対応策を準備し、脆弱性の内容を公表することで、お客さまに注意喚起を行うプロセスを整えていますが、製品をご利用中のお客さまにはご心配をおかけしている部分が大きいとも痛感しています。
こうした状況を少しでも改善すべく、当社では「製品のリリース前にいかに脆弱性に強い品質を確保するか?」に焦点を置き、様々な取り組みを行っています。本記事では、脆弱性に関する当社製品の品質向上の取り組みについて紹介します。
本記事では、以下の3つの取り組みについて紹介いたします。
取り組み①:脆弱性に強い製品を開発するための取り組み
取り組み②:未知の脆弱性を迅速に発見するための取り組み
取り組み③:脆弱性の悪用に迅速に気づくための取り組み
●脆弱性によるインパクトを最小限に抑える ”ハードニング(Hardening)”
ここでいうハードニングとは、「たとえ製品に脆弱性が存在していたとしても、悪用できない・しづらい設定にすること」です。
攻撃者が脆弱性を利用するには、『攻撃の侵入ポイント』からデータを入力し、『目標地点』(ここでは脆弱性が存在するソフトウェア)で脆弱性を悪用するコードを実行することが必要です。
ハードニングでは、
・攻撃者の侵入ポイントを叩きづらくする(=攻撃できる範囲を狭める)
・目標地点での動きを制限する(=攻撃後の活動を制限する)
などの思想に基づいて設計します。
このような作りにより、脆弱性による被害や影響度を最小限に抑えることができるようになります。
●製品リリース前に脆弱性を修正する ”脆弱性チェックツール”
トレンドマイクロでは、製品リリース前に様々なテストを行っています。これらのテスト手法のうちの1つとして、将来的な実装を目指して現在検証中の「脆弱性チェックツール」について紹介いたします。
これは、ソフトウェア開発のバージョン管理プラットフォームの運営企業が提供しているセキュリティ分析ツールの1つです。
脆弱性の特徴を記載したクエリを作成することで、プラットフォーム上のコードに対して同様の脆弱性が含まれていないか検索することができます。
これにより、「過去に発見された脆弱性と似たものを再び含んでしまっていないか?」を自動でチェックすることが可能になります。
開発中の段階で脆弱性の存在に気が付くことができるようになるため、攻撃者による悪用の抑制はもちろん、結果的にお客さまの修正プログラム適用の負荷が軽減されることが期待されます。
取り組み②:未知の脆弱性を迅速に発見するための取り組み
前述したように、当社では脆弱性に強い製品づくりに取り組んでおりますが、一方で未知の脆弱性に対して100%対処することは残念ながら難しいのが実状です。そこで、トレンドマイクロでは「攻撃者に未知の脆弱性が発見・悪用される前に、自社で発見し修正する」ことを目指した活動も行っています。
具体的には、トレンドマイクロのセキュリティリサーチャーが自社製品に対する脆弱性を探し出すタスクフォースの発足(参考記事参照)や、専門業者によるペネトレーションテスト(システムの脆弱性を検証するテスト手法の1つ)、トレンドマイクロが運営する脆弱性発見コミュニティのZero Day Initiative (ZDI)などを通したバグバウンティ(Bug Bounty)※プログラムなどを行っています。
※ 脆弱性報奨金制度とも呼ばれ、製品やサービスに関する脆弱性の報告を外部の専門家や研究者から受ける対価として、報奨金を支払う制度のこと。
参考記事:
トレンドマイクロが実践するサイバー攻撃演習(前編) ~サイバー攻撃者視点で徹底的にあぶりだす、組織のペインポイント
トレンドマイクロが実践するサイバー攻撃演習(後編) ~流行中のランサムウェアを模したリアルな演習、見えてきたXDRの効果とは
※製品品質の向上を目的の1つとしたレッドチーム演習の取り組み紹介記事。製品開発プロセスにおける脆弱性検査だけでなく、レッドチームによる攻撃者目線による演習で当社製品の悪用の可能性を検証し、発見した脆弱性や機能強化の必要性を社内にフィードバックしている。
当社の姿勢に関する第三者からの評価 ~ベストレポーター受賞~
トレンドマイクロでは、新たな脆弱性が発見された際に積極的に情報をリリースし、お客さまへ認知頂けるように努めています。特に、オンプレミス製品をご利用中のお客さまの場合、当社が脆弱性に対する修正プログラムを公開しても、それをお客さまが認知され、実際に適用いただかない限り、攻撃者からお客さまを守ることができないと考えているためです。
脆弱性公表に関する当社のこのような姿勢について、2021年12月にJPCERT/CC様から評価いただき、ベストレポーター賞を受賞しました。
以下、JPCERT/CC様のブログより引用させていただきます(太字はトレンドマイクロで付加したものです)。
これまでさまざまな製品開発者と話をさせていただく中で、自社製品の脆弱性の公表が「〇〇社の製品には脆弱性が多い、製品品質に問題があるのではないか?」といった悪評に繋がりかねないという「脆弱性の情報公開」への懸念は度々聞かれます。もちろん事前に脆弱性を作り込まないようにセキュアコーディング等を進めることも重要なポイントですが、「バグのないプログラムなど作れない」と言われるように、脆弱性が後から見つからない製品は存在しません。言い換えれば、自社製品が持つ脆弱性を自社が把握できていないことがあるということです。潜在的な脆弱性を見つけていくことに加えて、発見された脆弱性にどのように対峙していくかの姿勢が重要ではないでしょうか。読者の皆さまにも脆弱性報告があるから品質が低いという見方ではなく、むしろ、脆弱性に対して前向きに対処しようとしている姿勢を評価して欲しいと考えます。 トレンドマイクロからは、社内外で発見された自社製品の脆弱性に関する報告を寄せていただき、JVNVU アドバイザリや注意喚起を複数公表するに至りました。(中略)また、いくつかの脆弱性は、すでにそれが悪用されているとの情報を寄せていただき、脆弱性だけでなくインシデント対応を含め、サイバーリスク低減のための活動にも繋がりました。JPCERT/CC はこれらの点に加え、製品開発者の方に改めて自らの製品の脆弱性の情報流通を考えていただく機会としたく、トレンドマイクロにベストレポーター賞をお贈りしました。 |
出典:JPCERT/CC Eyes(https://blogs.jpcert.or.jp/ja/2021/12/best-reporter-award-2021.html)
製品開発を行う一企業として、このようなお言葉をいただけたことは非常に光栄です。これに慢心することなく、トレンドマイクロでは、今後もお客さまに安心して製品をお使いいただけるよう製品品質向上に努めてまいります。
今回ご紹介した取り組み以外にも、トレンドマイクロでは安心安全な製品づくりのために、品質を高める様々な取り組みを行っています。その他の取り組みについては、下記の過去記事をご参照ください。
本シリーズの記事を読む:
第1回:製品開発の迅速性と安全性を両立するDevSecOps
第2回:サービスの信頼性を確保するSRE (Site Reliability Engineering)の実践
第3回:ソフトウェアの脆弱性のリスクを可視化するSBOM
第4回:トレンドマイクロ製品の脆弱性に関する品質向上の取り組み
第5回:地政学リスクを考慮したサービスの設計とは
サイバーセキュリティ・イノベーション研究所
トランスペアレンシー・センター
トレンドマイクロのサイバーセキュリティ・イノベーション研究所の中核センターの一つ。トレンドマイクロの製品・サービスの品質、安全性、透明性の向上に取り組む。また、その取り組みを顧客や一般に広く発信するほか、「ソフトウェア管理に向けたSBOMの導入に関する手引」を策定した経済産業省のタスクフォースにて、ソフトウェア分野のSBOM実証に協力するなど、国内におけるソフトウェアのセキュリティ向上に向けた社外活動も推進している。
Security GO新着記事
ソブリンクラウドとは?プライベートクラウドやガバメントクラウドとの違いを解説
(2024年11月5日)
VPN機器の脆弱性はなぜ管理しづらいのか~ネットワークエンジニアの立場から探る
(2024年11月1日)