【脆弱性鼎談】 第一回 実務担当者が現場の立場で語りつくす! IT/OTセキュリティ対策の実際
オープンソースの脆弱性はサイバーセキュリティを語るうえでの大きな論点です。インターネットのサービスの多くはオープンソースも利用しており、サービスの提供者、利用者、あるいはオープンソースを利用するサーバーの管理者は、脆弱性の情報を無視してビジネスを継続することはできません。そこで、LinuxディストリビューターとOSSセキュリティの有識者(CISSP取得者)の視点からOSSの脆弱性について一体どのように考えているのか、日々の実務を踏まえてお伺いしました。
司会
本日は脆弱性についての議論をOSSセキュリティの有識者(CISSP取得)とLinuxディストリビューターの鼎談という形で実施します。最近発生している脆弱性に関連した実際の事件からお話ししていただけると、これから脆弱性について知ろうという方にも親切です。まずはセキュリティ・インシデントの事象からご紹介いただけないでしょうか。
ソフトウエア脆弱性の現状 、脅威情報はどこから集めるのか?
面氏
2021年のトピックで言うと、米国で発生したKaseya(フロリダ州のIT企業)が大きい事象でした。日本には影響がなかったのですが、このKaseyaの脆弱性を含んだバージョンをマイクロソフトも利用したのでかなり脅威が広がった事例です【★注1】。有名なところですと、Amazonとか、Appleなども利用していました。
【★注1】
米・IT企業のKaseyaの法人向けソフトウエア管理・配信「Kaseya VSA」が標的となり、利用企業2000社超でランサムウエアの被害が拡大した。被害者の多くが様々な企業のシステム運用・保守を手掛けるMSPだったことが被害を大きくした要因の1つだった。
エンジニアA
このpiyologで記載されている内容ですね。
https://piyolog.hatenadiary.jp/entry/2021/07/12/054229
面氏
この事象で言いたいことは、脆弱性による影響が個人で何とかできるレベルじゃないということです。
司会
ディストリビューターが気づいてあげる問題ということですか?
面氏
そうですね。ディストリビューターやプラットフォーマー側がケアしてあげたいです。そうでないとSaaSを提供している側がサービスにダメージを受けるということなので。
司会
ディストリビューターやプラットフォーマーが脆弱性に気付けるものでしょうか?
面氏
ディストリビューターやプラットフォーマーであれば、公開された脆弱性にいち早く気付くことはできます。公開されてない情報になると、やっぱりセキュリティ関連のメーリングリストからの情報収集になり、Twitterなりdarkwebなりで流れてくる内容を見つけるしかなく、個人では難しいでしょうね。
エンジニアA
「CVE」 (Common Vulnerabilities and Exposures)の情報は常に見ていますね。とはいえ、ディストリビューションで提供しているものに関係ないことも多いので、まあディストリビューターとして関連ありそうな内容だけを見ています。基本的にLinuxディストリビューションは鍛錬されたバージョンをベースに作られているので。
CVEは新機能や拡張機能部分にバグがあるような事例が多いです。ディストリビューターではCVE公開されているけど、「まあ、うちの製品のベースにしているバージョンには、この機能はないから大丈夫だよね」っていうものが半分ぐらいという印象でいつも眺めています。逆に7-8年前から内在していたとか、何年もこんな不具合があったのか、という脆弱性に足元をすくわれることはあります。
あと、机上だけの脆弱性ってありますよね。そういうものに限ってセンセーショナルに騒がれたりして、「いやいや、これは現実的に影響を与えるほどの攻撃は成り立たないだろう」と感じる脆弱性もあります。
面氏
そうですね。数年前に話題になりましたMeltdownだとかSpectreなどのプロセッサの脆弱性はいい例ですよね【★注2】。それは、リモートじゃなくて、ローカル環境で検証しなくてはならないはずで、成功の確率も意外に低いのです。またセンセーショナルだけれど、じゃあ、その脆弱性がどれぐらい悪影響を及ぼすのか、誰もわからないのでニュースだけが独り歩きしちゃう。
【★注2】
2018年年頭の公開されたCPUの脆弱性。「Spectre」と「Meltdown」の脆弱性は、OSやアプリケーションのようなソフトウエアのバグに起因するものではなく、CPUアーキテクチャーにかかわるハードウェアレベルの脆弱性なので、現在稼働中の多くのコンピュータ機器に影響があることから、メディアなどでも大きく取り上げられ世間を騒がせることになった。
エンジニアA
ありますよね。OpenSSLの暗号のサイドチャネル攻撃の多くもそうです。
脆弱性をめぐるディストリビューターとユーザーの視点
エンジニアB
ディストリビューターからするとアップデートは素早く配信するので、ユーザー側もアップデートを早く当てて欲しいですね。
エンジニアA
(実際の運用を見ていると)ユーザーは脆弱性に関して実害を身近で受けるか、あるいは見聞きしてからでないとアップデートを習慣化しない、という悲しい現実があります。
面氏
やはり脆弱性について分かっているのだけど、アップデートをしないという人たちは一定数いるので、マイクロソフトとか、iPhoneのような感じで定期的に自動で上げられるような仕組みを考えないといけないかもしれません。
エンジニアB
たとえば iOSではアップデートによってアメと鞭もついてくるじゃないですか。あまり放置をすると今度は新しいアプリケーションのバージョンが利用できない。逆にアップデートすると新しいバージョンが使えてアメになります。iOSとサーバーでは違うのですけどね。
面氏
この手の話になると「いつも着地点がアップデートして欲しい」と。しかしベンダー側とエンドユーザー側は「そんなに簡単にはアップデートできないよ」と。そんなの綱引きになります。
それでも、訴求したいポイントは、
脆弱性情報を含めて、いろいろな情報を確実に捉えていましょう
当てられるパッチは当てましょう
自分たちが利用しているプラットフォームの脆弱性ならば、ベンターに問合せましょう
という3点です。
エンジニアB
やっぱりお客さんとしては、業務を止めたくないという視点があって、アップデートをしてくれないものだと思うのです。
エンジニアA
ディストリビューターとしては、ユーザーに公開情報を適切に提供して、「まあ騒がれていますが、それは影響が少ないから当てる必要はないですよ」と、ボソっと言えるぐらいお客さんといい関係が築けていけるのが理想的かな、という気がします。
面氏
最後に付け加えるとすれば、今後は国際的なセキュリティ基準や民法の契約不適合なども無視できないかもしれません。SIerとしては「契約不適合責任があるのでアップデートさせてください。」ということも出てくるかもしれない。ベンターとして言わざるを得ない場面が出てくるでしょう。
以上、今回はここまでにします。
次回は脆弱性情報のノイズ化とリスク評価について鼎談した内容をお届けいたします。
お楽しみにしてください。
◇ ◇ ◇ ◇ ◇ ◇ ◇ ◇ ◇ ◇ ◇ ◇ ◇ ◇ ◇ ◇ ◇ ◇ ◇ ◇ ◇ ◇ ◇ ◇ ◇ ◇ ◇
【面 和毅氏】
サイオステクノロジー株式会社 執行役員
OSS/セキュリティエバンジェリスト
略歴:OSSのセキュリティ専門家として20年近くの経験があり、主にOS系のセキュリティに関しての執筆や講演を行う。大手ベンダーや外資系、ユーザー企業などでさまざまな立場を経験。
2015年からサイオステクノロジーのOSS/セキュリティエバンジェリストとして活躍中。また、ヒートウェーブ株式会社でも講師として活動中。
専門分野はSELinuxを含むOSのアクセス制御、AntiVirus、SIEM、脅威インテリジェンス。
【エンジニアA】
サイバートラスト株式会社 基盤技術部に所属
元々は HP-UX でテレコム系の保守をしていたが、紆余曲折あって入社後 Linux OS である MIRACLE LINUX の開発・サポートに従事。好きな生き物はカエル。
【エンジニアB】
サイバートラスト株式会社 OSSプロダクトマネジメント部 シニアエンジニア
入社後基盤技術部にて、Linuxディストリビューション「MIRACLE LINUX 8」の開発・サポート、脆弱性のウォッチなどに関わる。
現在の所属はOSSプロダクトマネジメント部
