脆弱性インテリジェンスインサイトの中で注目すべき 3 項目

本日、Tenable Researchによりリリースされた脆弱性インテリジェンスレポートは、現在の脆弱性開示トレンドの概要とエンタープライズ環境での脆弱性デモグラフィクスの現状についてのインサイトを提供します。ここでは、Tenable Researchが注目した3つの事柄について取り上げたいと思います。

脆弱性はTenable Researchの研究全ての中心となるものであり、脆弱性エコシステムの現状は弊社にとって特に関心のある分野です。

脆弱性のエコシステムを広範囲に検分するには、まず脆弱性リサーチと開示に関する開発とトレンドを考慮する必要があります。この側面はよく研究されており、多くのベンダーや業界の企業は定期的にCommon Vulnerabilities and Exposures (CVE)や脆弱性情報データベース（NVD)　に対するコメントを公開しています。脆弱性の共通弱点の多様性、成長と進化を知ることで、脆弱性がどのようなものであるかを知ることができますが、提供されているのは記述された情報のみです。CVEとNVDによると脆弱性は理論上のみに存在するもので、実際にエクスプロイト可能であるかは評価されていないため、アクティブな脆弱性に対するインサイトは提供されていません。

実際にどのような脆弱性が存在しているかを理解するためには、エンドユーザーの行動やテレメトリーなど、Tenable Researchが提供する独自のインサイトが必要となります。弊社は、存在する脆弱性の高いユーザーを把握しています。1999年から公開されている107,710の識別されたCVE中、22,625（23パーセント）がエンタープライズ環境内に実際に存在しています。これが本当の脆弱性のエコシステムなのです。残りは絶滅したか、あるいは検知できない深いところに隠れています。

相対的・絶対的な脆弱性の数は継続的に増加しています。2017年に、15,038件の新しい脆弱性が公開されました。これは2016年の9,837件と比較すると53パーセントの増加です。2017年前期と2018年前期を比較し、現在は今年予想される18,000～19,000件の新しい脆弱性、または27パーセントの増加に対応しています。現実には、私達の予想は低めに見積もられていると思います。

効果的な脅威と脆弱性管理は今や、規模、複雑性、ボリュームと速度―分散した、モバイル型や異なるネットワークとユーザーの複雑性、結果として生じる脆弱性のボリューム、新しい脆弱性が開示され実際に悪用される速度により決まってきます。今までにないほど、アクションが可能なインテリジェンスが必要とされています。Tenable Researchでもこの必須条件に基づき、皆様にお伝えしていることを実行しています。V脆弱性インテリジェンスレポートは、その結果です。弊社ではフルディスクロージャとインテリジェンスの共有を信じ、弊社のコミュニティと本レポートをシェアしています。

このレポートは、こちらからご覧いただけます。ここでは、Tenable Researchが注目した3つの事柄について取り上げたいと思います。

CVSSバージョン3は優先順位付けの問題を悪化させる

CVSSバージョン3は2015年に、特にバージョン2が行う脆弱性のインパクト評価の仕方におけるいくつかの制約を解消するために導入されました。バージョン3のスコアは古い脆弱性向けではありませんが、2016年からのほとんどの脆弱性がCVSSv3スコアで評価されています。バージョン3はリリースされた時から現場や第三者レポートからその弱点について批評を受けています。弊社独自の分析は、CVSSv3は、大半の脆弱性を高および緊急と評価しているという批評をサポートしています。

図1で示されているように、CVSSv2ではCVEの31パーセントを重大度高としていますが、CVSSv3では重大度高・緊急は60パーセントとなっています。

CVSSv3のみを利用すると、優先順位付けの課題を解決するどころか悪化させてしまいます。これは、CVSSv2の使用を支持している、というわけではありません。バージョン2はその他のシステムコンポーネントに対する脆弱性リスクを確実に反映しないため、バージョン3が有効であることには変わりません。

図1：全CVE - CVSS重大度分布

古いソフトウェアの脆弱性が依然として攻撃に利用される

レポートの第二部では、エンタープライズ環境に実際に存在する脆弱性の蔓延についてみてみました。この分析は2018年3月から8月の間に行われたスキャンに対して行った90万以上の評価のデータが基になっています。また、エクスプロイトキットやその他のクライアント側での攻撃によるウェブブラウザとアプリケーションの脆弱性を深く分析しました。弊社がすぐに気が付いたことは何でしょう？エンタープライズが検知している脆弱性のほとんどが古いまたはレガシーソフトウェア内のものです。

図2から、Firefoxの脆弱性が2012年から2017年まで、2015年をピークとして集中しているのがわかります。Firefoxはブラウザのマーケットシェアの10パーセントを少し超えるのみですが、弊社のデータセット内では実際重大度高の脆弱性の53パーセントを閉めています。Firefoxの脆弱性は修復されていません。

図2：エンタープライズ環境内で重要度高となっているウェブブラウザのCVEの広がりが目立っている

図3でわかるように、Microsoft OfficeとOracle Javaで類似した現象が起きています。

図3：エンタープライズ環境内で重要度高となっているアプリケーションのCVEの広がりが目立っている

レガシーシステムやソフトウェアを維持するビジネス上の正当な理由があるかもしれません。特にJavaはでバージョンに対する依存度が課題になっていることが知られています。これらのケースでは、脆弱なシステムをセグメント化したり、ソフトウェアを仮想システムにインストールすることができます。ビジネス上の正当な理由がない限り、これらのアプリケーションによるリスクは避けることができます。

エクスプロイトの可能性は優先順位の条件として十分ではない

最初に脆弱性が発見されると、それは理論的なリスクとなります。エクスプロイトが開示されると、エンタープライズシステム内の脆弱性は潜在的リスクとなります。弊社の研究によると、2017年に開示された脆弱性の中で、一般的なエクスプロイトが公開されたのは７%のみです。企業は751の脆弱性に優先順位を付けなければなりませんが、CVSSv3のみを利用するよりも対象となる脆弱性の量を大幅に減らすことができます。CVSSv3のみを利用するとCVSSv3スコア7.0またはそれ以上の優先順位で8,120件の脆弱性（全体の54パーセント）が検知されます。CVSSv3 9.0～10のみに絞り込んだとしても、1,804件の緊急な脆弱性が残ります（12パーセント）。

この情報はVAソリューション内のほとんどのユーザーが利用することができ、検知された脆弱性とエクスプロイト攻撃の可能性のデータに関連付けることによって自動的に運用できます。

609の重大度の高いアプリケーションの脆弱性を弊社のデータセット内で分析した結果、一般的なエクスプロイト攻撃の可能性のある脆弱性はセキュリティ更新プログラムを適用することにより修正できることが分かりました。図4に示されているように、エンタープライズ環境では、一般のエクスプロイトは、重大度の高いAdobe Flashの脆弱性に対するセキュリティ更新プログラムが適用されていない場合、79%を占めます。Adobe PDFでは96%です。インターネット上でFlashにより有効化されたコンテンツが少なくなっており、2020年にサポート切れになることを考慮すると、Flashをインストールしておく価値はほぼありませんが、これには多大なリスクの危険性があります。データセットで公開されている一般的なエクスプロイトのある脆弱性に対処するセキュリティ更新プログラムが適用されていないケースは、全てのアプリケーショングループ内で最も低くても41%ありました。

図4：一般的なエクスプロイトは、重大度の高いAdobe Flashの脆弱性対するセキュリティ更新プログラムが適用されていない場合、79%を占めます。

脆弱性が即時に対応を必要とするリスクになるかどうかを評価するための条件としてエクスプロイトの可能性が重要視されていて、その情報は広く入手可能であるため、この発見は驚くべきことでした。このシンプルかつ効果的な優先順位付けの条件に対するコミュニティ内の認識を高めていくことが必要です。

注目すべき主な情報はわずか3つです。完全なレポートは こちらからご覧いただけます。

詳細はこちらから

• 脆弱性インテリジェンスレポートをダウンロード。
• 電子書籍を読む: サイバーセキュリティの優先順位の付け方: CISO 向けの入門書。
• エグゼクティブブログをお読みください。 脆弱性インテリジェンスレポート：優先度付けにおける脅威を重視したアプローチ。