民間部門の企業は、サイバーセキュリティのベストプラクティスを米国連邦政府に求めています。米国のCISA(サイバーセキュリティ&インフラセキュリティ庁)は、既存の製品にパッチを当てることや、他の製品の使用を避けるよう命令や指示を出しています。米国国立標準技術研究所(NIST)は、サイバーセキュリティ・フレームワーク(CSF)など、さまざまなセキュリティトピックに関する詳細なガイダンスを提供する重要な文書を発行しています。
CISAとNISTは、世界の同等の政府機関と同じく、時代遅れのセキュリティ・ソリューションや、発見された脆弱性のリスクを定量化し、それらを悪用から保護する緊急性を担当する専門家チームを擁しています。しかし、このような機関は民間には存在しません。確立されたサイバー専門家チームを持った資金力のある組織でない場合は、政府の指導に従うことが論理的かつ効果的です。
すべきこと vs できること
政府機関によるサイバーセキュリティに関するガイダンスを知っておくことは非常に重要です。しかし、自覚することは課題の一部にすぎません。もっと大きな次の段階は、その指導に従うことです。「命令」あるいは「指令」とも呼ばれる、オペレーティング・システムのアップデートや、ハードウェア製品へのパッチ適用に関する指示は毎週のように出され、官民を問わずほとんどの企業が対応に苦慮しています。
WindowsやmacOSのようなオペレーティング・システムは、ソフトウェア・アップデートを自動化し、容易に展開できるようにし、長い道のりを歩んできました。多くの企業はコンピュータを集中管理しており、重要なソフトウェア・アップデートを数時間から数日で展開することができます。
一方、ハードウェア・アプライアンスは、パッチを当てるのが困難です。これらは重要なインフラであることが多いため、IT部門は運用のダウンタイムに注意しなければならず、週末や休日に行われることも多いです。ルーター、ファイアウォール、セキュア・ウェブ・ゲートウェイ(SWG)、侵入防御システム(IPS)などのアプライアンスは、アップデートに対して非常に「敏感」であると考えられています。歴史的に、パッチや修正プログラムを適用しても同じように動作することはなく、トラブルシューティングに時間がかかり、生産性が低下し、攻撃のリスクが高まってしまいます。アプライアンスへの迅速なパッチ適用という課題は、サイバー攻撃者と同様に政府に認識されています。これらのアプライアンスは、しばしば企業の境界セキュリティとして(誤った)信頼を置かれていますが、現実には企業に侵入するための、攻撃者にとって簡単で好みの方法です。
Cato Networks SASE Threat Research Report H2/2022 | Get the ReportCISA KEVカタログ – 重要事項に焦点を当てる
ほとんどの企業は、継続的なパッチ適用サイクルにリソースを費やすことができないため、優先順位付けが必要となっています。米国CISAのKEV(Known Exploited Vulnerability:既知の悪用された脆弱性)カタログは、政府機関に最も重要なパッチを義務付けており、民間企業はどこに重点を置くべきかを知るのに役立ちます。
KEVのカタログは、注目に値するいくつかの重要な洞察にも言及しています。Imperva Incapsula、Okta、Cloudflare、Cato Networks、Zscalerなど、クラウドネイティブなセキュリティ・ベンダーは、データベースに1件たりともも記録されていません。これは、これら企業のソリューション・アーキテクチャが、継続的なサービスにおいて脆弱性にパッチを適用・修正することを可能にしているためで、企業は常に安全な状態にあります。
一方、ハードウェア・ベンダーを見てみましょう。2023年9月現在、シスコが65件、VMwareが22件、フォーティネットが11件、パロアルトネットワークスが4件となっています。
サイバーリスク分析と必然的結論
CISAのKEVは氷山の一角にすぎません。CVE(Common Vulnerabilities and Exposures:共通脆弱性・暴露)データベースの全容を調べると、さらに懸念事項があることがわかります。
FortiOSは、フォーティネットのすべてのNGFWで使用されているオペレーティングシステムで、関連する脆弱性は130件超、そのうち31件は 2022 年に公開され、14件は 2023 年の最初の9か月間で公開されました。パロアルトネットワークスの NGFW のオペレーティング システムである PAN-OS には、150 を超える脆弱性がリストされています。ちなみに、Cisco ASAのそれは400件近くあります。これに比べ、Okta、Zscaler、Netskope はすべて1桁以内であり、クラウドサービスとして、エンドユーザーに依存することなく、ほぼ即時にあらゆるCVEに対処できます。
ほとんどの企業は、非常に多くの脆弱性のリスクを評価するためのチームと専門知識、およびそれらに継続的にパッチを適用するためのリソースが不足しているため、現実には企業はサイバー攻撃にさらされたままにされているのです。
アプライアンスベースのセキュリティを信頼するリスクに対し、クラウドベースのセキュリティを信頼するリスクが低いことは明白です。これはCISAのKEVを見れば明らかですが、CVEデータベースの全体を見るとさらに明確になります。
こうしたことから、おそらく近い将来、米国のNISTやCISAといった政府機関が、ある時点でアプライアンス・ベースのセキュリティ・ソリューション使用に反対を勧告したり、禁止したりするのは必然的な結論といえます。
実践的アドバイス
この事態に関する私の分析が大げさであると思う方は、フォーティネットが最近の脆弱性について独自分析をし、政府や重要インフラがターゲットにされていると明言しているレポートをご覧ください:https://www.fortinet.com/blog/psirt-blogs/analysis-of-cve-2023-27997-and-clarifications-on-volt-typhoon-campaign
セキュリティ・アプライアンスは数十年前から存在していますが、製品にシームレスで抵抗がなく、自動的でリスクのないパッチを当てるという夢は実現しませんでした。それは、クラウドネイティブのセキュリティ・ソリューションでしか実現できないのです。
現在契約済みのセキュリティ・インフラがアプライアンス・ベースである場合、来る更新サイクルで、クラウド・ネイティブ・セキュリティに移行する方法を計画し始めるべきでしょう。
今、あるいは近いうちに更新する場合は、家電製品のリスクがますます高まっていることを十分に考慮するべきです。