言うべき人によってきちんと言われるべきであると常日頃多くの人が思ってきたことがようやく語られるときがやってきたようだ。
「言うべきこと」とは具体的には EDR や NDR の有効性である。どちらも極めて重要な製品かつ技術であり、不可欠とも言える対策である。一定以上の網羅的対策を既に実施している企業なら、予算や運用人員が確保できさえするなら、すぐにでも導入すべき対策である。
しかし一方で、日々ニュースで報道されるサイバー攻撃被害の多くは、EDR や NDR の管掌範囲の手前も手前、要は数年も前に報告された VPN 機器の脆弱性にパッチがあてられていなかったり、パスワードなどのクレデンシャル管理の不十分さなどが攻撃の発端になっていることがあまりにも、あまりにも多い。
侵入前提の対策である EDR や NDR の重要性は別として、そもそもまず足元の脆弱性管理等をちゃんとやった方が、断然費用対効果も高くないですか? そんな正論が 10 月に大阪・東京・名古屋で開催される総合セキュリティカンファレンス Security Days Fall 2024 の講演「脅威となるサイバー攻撃・ランサムウェアに備える脆弱性対策とは~ 事業継続に不可欠な『事前対策と事後対応』~」で開陳される。登壇するのは株式会社ディアイティ 執行役員 CTO 青嶋 信仁(あおしま のぶひと)氏。これほどこのテーマに適切な人物も他にあるまい。
青嶋氏は西暦 2000 年から業務としてセキュリティに関わり、ほぼ四半世紀の経験を持つ業界でも最ベテランの 1 人だ。経歴がすごい。キャリアの初期からインシデントレスポンスなどを通じてフォレンジックの経験を積み、ありとあらゆる(と言っていいくらいの)日本のサイバーインシデント事案の火事場で、火消しとして、あるいは焼け跡の現場検証に関わってきた。現場の痛みを嫌というほど見てきた。
もし、そのインシデント発生の前と後で世界が変わったと言える事案をいくつか挙げろと問うたら 10 人中 10 人が必ず挙げる日本年金機構の情報漏えい事件で青嶋氏は、政府の指名を受け招聘された、たった 1 人の第三者委員を務めた。
以前、セキュリティ研究者にして調査報道のジャーナリストであるブライアン・クレブスの活躍をエドワード・ノートン主演で映画化するという企画があったが(実現していない)、この青嶋氏の四半世紀の活躍をこそ佐藤浩市か役所広司あたりを主演にして映画化すべきではないかと真剣に思う。
今回青嶋氏が行ったのは、EDR と NDR の徹底的な効果検証である。つまり「偵察」「初期アクセス」「永続化」「防御回避」などの攻撃の各段階において EDR NDR がどれだけ有効かを、DIT のラボで複数の製品を対象に模擬攻撃を行い徹底的に検証した。その結果が講演で披露される。
そして、その検証結果をもとに EDR と NDR がいま最も管理者の懸念となっているランサムウェア攻撃に対して、いかほどの耐性を持つかの考察が示される。
かつて Cylance のように「自社製品の優位性を示す」ため、同カテゴリの他社製品との比較をバイネームで行うことはあったが、EDR も NDR も自らいっさい製品として担がない DIT のような企業によって、いわばニュートラルな立場からこうした問題提起がなされることには一定の意義がある。
何より青嶋氏には EDR や NDR を「下げる」意図など全くない点が肝要である。そもそもインシデントレスポンスの専門家として青嶋氏は EDR の価値や有効性を誰よりも知っている。だから社名や製品名などは一切挙げる予定はなく、あくまで先端製品ばかりに目が行きがちな潮流に対して、再考を促す提案である。
40 分間の本セッションは前編と後編にわかれており、後半ではフューチャー株式会社 サイバーセキュリティイノベーショングループ 事業責任者 兼 Vulsディレクター 林 優二郎(はやし ゆうじろう)氏が、先端製品とは真逆の、足元の一丁目一番地のセキュリティ対策の代表ともいえる、脆弱性管理やパッチマネージメントについての提案を行う。
林氏のパートで紹介されるのは、フューチャー社が提供するオープンソースの脆弱性管理ツール「Vuls」と、その運用管理基盤となる「Future Vuls」だ。本誌読者には既知のことであろうが、Vuls は Future株式会社の神戸 康多 氏によって開発されオープンソース化されたソフトウェアであり、ここでも「語るべき資格を持つ人による講演」という納得感と安心感がある。
新卒でフューチャーに入社した林氏は、IT コンサルタントとして様々な業界での経験を積んだ。転機となったのがマイナンバー関連案件に関わったこと。マイナンバーにはセキュリティが何よりも重要と考えた林氏は、エストニアに出張に赴いてデジタル政府の最新事例を学ぶなど、精力的に情報収集とネットワーキングを行った。2023 年に林氏は ASEAN 参加各国の VIP が集まる国際会議に日本からパネラーとして登壇したが、これも林氏の調査活動全般の成果のひとつと言えるだろう。
そんな林氏が 2016 年から、メンバーがほぼ一人の段階から関わってきたサービスが「Future Vuls」である。
「Future Vuls」は、時に数万件も検知される脆弱性に対して、効率的かつ効果的にアクションを行うためのサポートを行うサービスで、2022 年には脆弱性検知のセキュリティスキャナーとしては最初期に「SSVC」に対応した。
「Future Vuls」は、保有する資産と脆弱性情報を紐づけるだけではなく優先度付けを行い、対応が必要なタスクのチケット発行や管理まで行うことができる。また、GitHub や Trend Micro Deep Security など他のクラウドサービスと連携を行うことにより、アプリケーションやライブラリの脆弱性を検知したり、IDS/IPS のルール最適化を行うなどの機能も持つ。
「Future Vuls」が対応している SSVC(Stakeholder-Specific Vulnerability Categorization)とは、カーネギーメロン大学が 2019 年に提案した新しい脆弱性管理のフレームワークであり、CVSS(Common Vulnerability Scoring System)のような深刻度だけでなく、「攻撃コードの公開有無」「脆弱性のあるシステムの露出レベル」「攻撃者側からの価値の高低」「攻撃プロセスの自動化可能性」「攻撃被害が発生した際の事業継続の影響」などに基づいて、「すぐに対応が必要」から「対応不要」まで 4 段階の対応レベルに導出する。
脆弱性管理の重要性はセキュリティ管理が始まって以来の正論中の正論、一丁目一番地であり、多くの管理者にとっては「釈迦に説法」かもしれないが、先端対策である EDR や NDR のカウンターとしてこうして改めて提案されれば、きっと多くの受講者にとって「思わぬ再発見」があるに違いない。要注目講演である。
10.24(木) 11:30-12:10
「脅威となるサイバー攻撃・ランサムウェアに備える脆弱性対策とは~ 事業継続に不可欠な『事前対策と事後対応』~」
株式会社ディアイティ 執行役員CTO
青嶋 信仁 氏
フューチャー株式会社 サイバーセキュリティイノベーショングループ 事業責任者 兼 Vulsディレクター
林 優二郎 氏
![Log4Shell のような経験はもう二度としない ~ SSVC が搭載された FutureVuls を活用し、現実的な脆弱性管理を実現 [株式会社マイナビ] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/43935.jpg)
