報道機関による影響：メディアによる報道が脆弱性管理の優先順位付けの指標とみなされている

Tenableは、脆弱性に関する主要メディアの報道が、企業の脆弱性管理方法をどのように変えたかについて調査を行いました。そこから得られた知識をこのブログで共有します。

技術分野において、脆弱性は常に話題を集めてきました。脆弱性に関するニュースは最近ますます増えています。通常は脆弱性管理のこまごまとしたディテールに関与することもない企業リーダーが読む書物でも定期的に取り上げられています。

2018 年はメディアにとって脆弱性ラッシュとも言える重要な年でした。1 月の Meltdown と Spectre から始まり、攻撃に関する報道は途切れることがなく続きました。これを見て、当社は、この報道の結果、企業は脆弱性管理方法を変えたのかどうか、また変えたのであれば、どのように変えたのか、知りたくなり、調査を行いました。CISO やセキュリティアナリストとのインタビューを通じて、ニュースで取り上げられた脆弱性に対する彼らの経験を掘り下げました。

「脆弱性に関するニュース報道はあなたの仕事に影響を与えましたか？もしそうなら、どのように影響しましたか？」と尋ねました。 

ほとんどの人は、脆弱性に関する報道が原因で通常業務にある程度の中断を経験していました。最も多い 2 つの例は投機的実行の脆弱性で、Meltdown、Spectre、そしてStruts2でした。 詳細なレポート「見出しを飾る脆弱性：メディア報道がいかにリスク認識を形成するか」では、これらのインシデントへの対応から生まれた戦略、方針、および課題の詳細を取り上げています。 当社の重要な発見は、 

• 注目を集める脆弱性は、セキュリティチームだけが懸念する内容ではない。技術的に重要であるかどうかにかかわらず、これらの脆弱性は深刻な評判のリスクを引き起こす可能性があり、顧客、パートナー、規制当局およびその他の主要な関係者との取引関係管理を必要とします。
• メディア報道は、特に個別の企業が対象になるかどうかなど、脆弱性の真の重要度を判断するための客観的な指標とはならない。メディアの役割は、リスク分析を行うのではなく、ストーリーを調査して報告することです。どちらかというと、興味深いけれども必ずしも緊急ではない脆弱性について報告するでしょう。
• ただし、メディアによる報道は依然として全体的なリスク評価に影響を与える可能性がある。セキュリティチームは、メディアによる報道は技術的リスクの理想的な尺度ではないことを認識していても、リスク評価プロセスについては他のユーザーと話し合う必要があります。また、深刻度の低い脆弱性によってもたらされる全体的なリスクには、対策が必要となる可能性があることも認識する必要があります。
• セキュリティチームの役割には、認識されているリスクを管理し、主要なステークホルダー（特に上級意思決定者）に助言し、マスコミの報道ではなくコンテキストに基づいて脆弱性に対する適切な対応を可能にすることが含まれています。CISO は脆弱性データを適切なコンテキスト情報を携えた上で、Cyber Exposure を経営幹部に適切に伝え、リスクを減らすために適切にリソースを手配する必要があります。

その一方で、上記のレポートには網羅されていない別の角度があり、次にそれを取り上げたいと思います。つまり、脆弱性管理方法に影響を与えるのは、ビジネス誌の記事だけではないということです。セキュリティチームは経営陣に比べて、脆弱性に対してはるかに多くのチャンネルを追跡しています。セキュリティチームはビジネス誌の記事を脆弱性情報の唯一のソースとして利用しているわけではありませんが、このような記事は優先付けの基準（他と組み合わせて）として利用できる可能性があります。脆弱性にまつわるメディアの状況のこの側面を検討してみましょう。 

脆弱性にまつわるメディアの状況

 「見出しを飾る脆弱性」レポートは主に、組織が主要メディアの報道（ニューヨークタイムズやテレビニュースで取り上げられるストーリー）にどのように対応しているかに焦点を当てていますが、脆弱性にまつわるメディアの状況は、これらのストーリーに留まらない遥かに多くのものを網羅しています。 経営陣や役員会が脆弱性に気づくと、実行圧力が最も高まり、セキュリティチームはしばしばメディアの報道を重要度の基準として利用します。メディアの報道は通常、脆弱性の優先度を押し上げますが、攻撃が確認された場合には特にその優先度が増します。実際、Atlassianは3月20日にConfluence Serverの脆弱性に関するアドバイザリーを公開しました。これには、CVE-2019-3396の修復プログラムも含まれていました。 しかし、メディアがこれについて取り上げたのは、概念実証 (PoC) コードとこの脆弱性の悪用が公になってからのことでした。これによって脆弱性が優先事項となったわけではありませんが、メディア報道は確かに優先付けの付加的なデータポイントとして機能しています。

Tenableのセキュリティ対応チーム (SRT) は、ニュース（およびその他のソース）で取り上げられた脆弱性を追跡しています。2019年が始まってから、開示された特筆すべきほぼ全ての脆弱性がメディアにより取り上げられています。 これにより、セキュリティチームに膨大な「ノイズ」が生じています。メディアの状況は常に変化するため、メディアの報道は基準としてあまり役には立ちません。 

メディアの状況変化について、SRTのリサーチエンジニアである Ryan Seguin は次の様に語っています。「過去 5 年にわたり、業界は最悪の状態でした。脆弱性に関するのメディア報道の最初の大きな影響は2014年の「Heartbleed」で、二度目はTwitterが研究者同士のコミュニケーションのデファクトスタンダードになったことです。Heartbleedは覚えやすい名前を付けられた最初の脆弱性ではありませんが、私の経験では、これに関連する出版物が脆弱性研究にある種のゴールドラッシュをもたらしました。2014年以降、研究者は優れた記事や注目に値するウェブページのテーマとして取り上げるに足りる完璧な脆弱性の次の発見者になろうとますますやっきになっています。世界に名を広めて信頼を構築するということに加えて、バグ報奨金プログラム自体もより儲かる、より組織化されたものになりました。」研究者が注目を集めるために自らの業績をアピールする方法がこのように変化したことで、メディアは私達が今目にしている膨大な数の煩わしいニュースを提供するようになったのです。

レポートで検討した脆弱性および戦略は、過去数年間サイバーセキュリティにおいて役員会の関心が続いてきたテーマと一致しています。セキュリティチームは、経営幹部からの高まる関心にただ反応するだけでなく、どのように生かしてきたのでしょうか。特に2018年は、その関心が脆弱性管理に向けられました。 この関心がビジネス誌またはBleeping Computerのような技術誌により引き起こされたにしても、セキュリティチームは主要な当事者が最適の決定を下せるように、脆弱性がもたらすリスクを分かりやすく説明する必要があります。

見る：エキスパートパネル：見出しを飾る脆弱性レポート (Edge 2019)

2019 年 6 月 4 日更新： アトランタで 5 月 21-23 日に開催された Edge 2019 ユーザーカンファレンス（Tenable主催）の「エキスパートパネル」セッションにて、レポート内容に関する議論を行いました。The Security Ledger発行人兼編集長Paul Roberts氏にモデレーターを務めていただき、以下の方々にご参加いただきました。Kevin Kerr氏（Oak Ridge National Laboratory, CISO）、Greg Kyrytschenko氏（Gurdian, セキュリティサービス部長）、Ramin Lamei（Global Payments, シニアディレクター兼情報セキュリティ部長）、および Claire Tills（Tenable, リサーチアナリスト）。以下よりフルセッションをご覧ください。

もっと詳しく

• レポートをダウンロードする 見出しを飾る脆弱性：メディア報道がいかにリスク認識を形成するか
• ウェビナー「Tenable Researchが見出しを飾る脆弱性を調査：報道は認識を歪めるか？」（6月19日、2:00PM ET）にご参加ください。 
• Edge 2019のその他ビデオもご覧いただけます。 こちらをクリックしてください。