Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

脆弱性インテリジェンスインサイトの中でも注目すべき3つのもの

本日、Tenable Researchによりリリースされた脆弱性インテリジェンスレポートは、現在の脆弱性開示トレンドの概要とエンタープライズ環境での脆弱性デモグラフィクスの現状についてのインサイトを提供します。ここでは、Tenable Researchが注目した3つの事柄について取り上げたいと思います。

脆弱性はTenable Researchの研究全ての中心となるものであり、脆弱性エコシステムの現状は弊社にとって特に関心のある分野です。

脆弱性のエコシステムを広範囲に検分するには、まず脆弱性リサーチと開示に関する開発とトレンドを考慮する必要があります。この側面はよく研究されており、多くのベンダーや業界の企業は定期的にCommon Vulnerabilities and Exposures (CVE)や脆弱性情報データベース(NVD) に対するコメントを公開しています。脆弱性の共通弱点の多様性、成長と進化を知ることで、脆弱性がどのようなものであるかを知ることができますが、提供されているのは記述された情報のみです。CVEとNVDによると脆弱性は理論上のみに存在するもので、実際にエクスプロイト可能であるかは評価されていないため、アクティブな脆弱性に対するインサイトは提供されていません。

実際にどのような脆弱性が存在しているかを理解するためには、エンドユーザーの行動やテレメトリーなど、Tenable Researchが提供する独自のインサイトが必要となります。弊社は、存在する脆弱性の高いユーザーを把握しています。1999年から公開されている107,710の識別されたCVE中、22,625(23パーセント)がエンタープライズ環境内に実際に存在しています。これがエコシステムの真の脆弱性です。残りは絶滅してしまったか、または検知できない深いところに隠れています。

相対的・絶対的な脆弱性の数は継続的に増加しています。 2017年に、15,038件の新しい脆弱性が公開されました。これは2016年の9,837件と比較すると53パーセントの増加です。2017年前期と2018年前期を比較し、今年は18,000~19,000件の新しい脆弱性、すなわち27パーセントの増加が予測されます。現実的に、この予測は低めに見積もられていると思われます。

効果的な脅威と脆弱性管理は今や、規模、複雑性、ボリュームと速度―分散した、モバイル型や異なるネットワークとユーザーの複雑性、結果として生じる脆弱性のボリューム、新しい脆弱性が開示され実際に悪用される速度により決まってきます。今までにないほど、アクションが可能なインテリジェンスが必要とされています。Tenable Researchでもこの必須条件に基づき、皆様にお伝えしていることを実行しています。V脆弱性インテリジェンスレポートは、その結果です。弊社ではフルディスクロージャとインテリジェンスの共有を信じ、弊社のコミュニティと本レポートをシェアしています。

このレポートは、こちらからご覧いただけます。ここでは、Tenable Researchが注目した3つの事柄について取り上げたいと思います。

CVSSバージョン3は優先順位付けの問題を悪化させる

CVSSバージョン3は2015年に、特にバージョン2が行う脆弱性が及ぼす影響の評価におけるいくつかの制約を解消するために導入されました。バージョン3のスコアは古い脆弱性向けではありませんが、2016年からのほとんどの脆弱性がCVSSv3スコアで評価されています。バージョン3はリリースされた時から現場や第三者レポートからその弱点について批評を受けています。弊社独自の分析は、CVSSv3は、大半の脆弱性を高および緊急と評価しているという批評をサポートしています。

図1で示されているように、CVSSv2ではCVEの31パーセントを重大度高としていますが、CVSSv3では重大度高・緊急は60パーセントとなっています。

CVSSv3のみを利用すると、優先順位付けの課題を解決するどころか悪化させてしまいます。これは、CVSSv2の使用を支持している、というわけではありません。バージョン2はその他のシステムコンポーネントに対する脆弱性リスクを確実に反映しないため、バージョン3が有効であることには変わりません。

Tenable脆弱性インテリジェンスレポート - 全CVE – CVSS重大度分布

図1:全CVE - CVSS重大度分布

古いソフトウェアの脆弱性が依然として攻撃に利用される

レポートの第2部では、エンタープライズ環境に実際に存在する脆弱性の蔓延について調査しました。この分析は2018年3月から8月の間に行われたスキャンに対して行った90万以上の評価のデータに基づいています。また、エクスプロイトキットやその他のクライアント側での攻撃によるウェブブラウザとアプリケーションの脆弱性を深く分析しました。弊社がすぐに気が付いたことは何でしょう?企業で検出されている脆弱性のほとんどが古いソフトウェア、またはレガシーソフトウェア内のものであるということです。

図2から、Firefoxの脆弱性が2012年から2017年まで、2015年をピークとして集中しているのがわかります。Firefoxはブラウザのマーケットシェアで10パーセント強にすぎませんが、弊社のデータセット内では重大度高の脆弱性の53パーセントを占めています。Firefoxの脆弱性は修正されていません。

図2:エンタープライズ環境内で重要度高となっているウェブブラウザのCVEの広がりが目立っている

図3でわかるように、Microsoft OfficeとOracle Javaで類似した現象が起きています。

図3:エンタープライズ環境内で重要度高となっているアプリケーションのCVEの広がりが目立っている

ビジネス上、レガシーシステムやソフトウェアを維持する正当な理由があるかもしれません。特に Javaはでバージョンに対する依存度が課題になっていることが知られています。これらのケースでは、脆弱なシステムをセグメント化したり、ソフトウェアを仮想システムにインストールすることができます。ビジネス上の正当な理由がない限り、これらのアプリケーションによるリスクは避けることができます。

エクスプロイトの可能性は優先順位の条件として十分ではない

脆弱性が発見されると、それは理論的なリスクとなります。エクスプロイトが発表されると、エンタープライズシステム内の脆弱性は潜在的リスクとなりますが、弊社の調査によると、 2017年に開示された脆弱性の中で、一般的なエクスプロイト攻撃となったのは7%のみです。企業は751の脆弱性に優先順位を付けなければなりませんが、CVSSv3のみを利用するよりも対象となる脆弱性の量を大幅に減らすことができます。CVSSv3のみを利用するとCVSSv3スコア7.0またはそれ以上の優先順位で8,120件の脆弱性(全体の54パーセント)が検知されます。CVSSv3 9.0~10のみに絞り込んだとしても、1,804件の緊急な脆弱性が残ります(12パーセント)。

この情報はVAソリューション内のほとんどのユーザーが利用することができ、検知された脆弱性とエクスプロイト攻撃の可能性のデータに関連付けることによって自動的に運用できます。

609の重大度の高いアプリケーションの脆弱性を弊社のデータセット内で分析した結果、一般的なエクスプロイト攻撃の可能性のある脆弱性はセキュリティ更新プログラムを適用することにより修正できることが分かりました。図4に示されているように、エンタープライズ環境では、一般のエクスプロイトは、重大度の高いAdobe Flashの脆弱性に対するセキュリティ更新プログラムが適用されていない場合、79%を占めます。Adobe PDFでは96%です。インターネット上でFlashにより有効化されたコンテンツが少なくなっており、2020年にサポート切れになることを考慮すると、Flashをインストールしておく価値はほぼありませんが、これには多大なリスクの危険性があります。データセットで公開されている一般的なエクスプロイトのある脆弱性に対処するセキュリティ更新プログラムが適用されていないケースは、全てのアプリケーショングループ内で最も低くても41%ありました。

図4:一般的なエクスプロイトは、重大度の高いAdobe Flashの脆弱性対するセキュリティ更新プログラムが適用されていない場合、79%を占めます。

脆弱性が即時に対応を必要とするリスクになるかどうかを評価するための条件としてエクスプロイトの可能性が重要視されていて、その情報は広く入手可能であるため、この発見は驚くべきことでした。このシンプルかつ効果的な優先順位付けの条件に対するコミュニティ内の認識を高めていくことが必要です。

注目すべき主な情報はわずか3つです。完全なレポートは こちらからご覧いただけます。

詳細はこちら:

Tenableブログを購読する

購読する
無料でお試し 今すぐ購入

Tenable.ioを試す

30 日間無料

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 今すぐサインアップしてください。

Tenable.ioを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

2,275ドル

今すぐ購入

無料でお試し 今すぐ購入

Nessus Professionalを無料で試す

7日間無料

Nessus®は、最も包括的な脆弱性スキャナです。Nessus Professionalは脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様がITチームに専念できるようにサポートします。

Nessus Professionalを購入する

Nessus®は、最も包括的な脆弱性スキャナです。Nessus Professionalは脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様がITチームに専念できるようにサポートします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加していただくと、電話、メール、コミュニティ、チャットサポートを年中いつでもご利用いただけきます。詳細についてはこちらを参照してください。

無料でお試し 今すぐ購入

Tenable.io Web Application Scanningを試す

30 日間無料

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のWebアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なWebアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDNs

3,578ドル

今すぐ購入

無料でお試しください セールスにご連絡ください

Tenable.io Container Securityを試す

30 日間無料

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOpsプラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポート

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Industrial Securityについてもっと知る

Tenable.scのデモを入手する

以下のフォームに連絡先をご記入ください。営業担当者からデモのスケジュールについてご連絡いたします。短いコメントもご記入いただけます(255文字まで)。アスタリスク(*)マークの付いた欄は必須です。

無料でお試しください セールスにご連絡ください

Tenable Luminを試す

30 日間無料

Tenable Luminを使用して、Cyber Exposureを可視化および調査し、リスクの軽減を追跡し、競合他社に対してベンチマークしましょう。

Tenable Luminを購入する

Tenableの担当者にお問い合わせいただき、組織全体に対するインサイトを得て、サイバーリスクを管理する上でLuminがいかに役立つかについて、Tenableの営業担当者までお問い合わせください。