脆弱性管理のキモは運用だ
JAPANSecuritySummit Updateセミナー開催レポート

JAPANSecuritySummit Update編集部は、「脆弱性管理のなにから始めるべきか？～最新の脅威動向から考える～」と題したセミナーを6月24日に開催した。

「Apache Log4j 脆弱性」などの脆弱性、サプライチェーンへの影響と懸念について連日報道がされている。企業のCIO、情報システム担当者などは「脆弱性管理の重要性は理解しているが、何から手をつけてよいのか、どんなツールが有効なのか、わからない」という声が多く聞かれる。

そこで、ソフトウェアの脆弱性について、情報発信をするエキスパートと脆弱性管理ツールを開発する企業が登壇し、2022年の脆弱性の脅威動向と脆弱性管理について当セミナーで解説した。

当セミナーのアーカイブVideoを公開（この記事の最下段）するが、そのまえに内容を簡単に紹介する。

第1部：講演

まずは、サイオステクノロジー株式会社 上席執行役員 情報セキュリティ担当 面 和毅 氏が、2022年第1四半期の脅威動向の状況と、どのような脆弱性が公開されたかを講義した。

面氏は、「企業は、ソフトウエア・サプライチェーンリスクを削減する必要がある」と警鐘をならす。脆弱性は公開後すぐに攻撃がされるので、「企業は①脆弱性公開後すぐに検知しなければいけない、②端末だけでなく、サーバー、OSからネットワーク機器まで、すべての状態や設定までを一元管理する、③パッチをあててパッケージ更新をこまめに行うことが大事である」（面氏）と説明した。

追記：面氏の講演内容について、サイオス株式会社のHPに詳細が公開されました。こちらよりご確認ください。

講演の詳細については、映像で確認をして欲しい。

第2部：パネルディスカッション

続いて、面氏をモデレーターとして「脆弱性管理はどこから始めたらよいのか」をテーマにパネルディスカッションが行われた。

パネリストは、サイバートラスト株式会社　新規ビジネス開発統括 事業開発本部 OSS新規ビジネス推進部 部長 堤 祐樹 氏と、ビジョナル・インキュベーション株式会社 yamoryプロダクトオーナー 鈴木 康弘 氏である。

まずは、パネリスト2社のプロダクト（yamory（JSSUD記事リンク）、MIRACLE Vul Hammer（サービスページリンク））についての紹介が行われ、その後ディスカッションに移った。

面氏から2社に対し、「製造業のサプライチェーン管理についての状況は現在どうなっているか、ユーザーの引き合いなどは増えてきているのか」といった質問がされた。

この点は2社の意見が合致し「現在は、製造業、医療などで引き合いが増えている。いずれの業種もインシデントがメディアで紹介されることが多く、サイバーセキュリティガイドラインなどに脆弱性管理が掲載されるようになったことが背景にある」と回答。

このタイミングで、聴衆の参加者より以下のような質問が届くなど、活発なディスカッションが展開された。

・「自動アップデートについて説明をしてください」

・「自動アップデート、たとえばAWSのシステムマネージャーと連携できるのでしょうか」

・「ソフトウェア情報と脆弱性の突き合わせは具体的に何を利用していますか？　共通プラットフォーム一覧（CPE: Common Platform Enumeration）でしょうか？」

自動アップデートについての質問では、「自動アップデートの機能があることと、自動アップデートを決定することの意味は異なる。自動アップデートはリスクにもなる」といった興味深い回答がなされた。

また、CPEについては、「脆弱性情報は本来CPEから引き出されるのが理想だが、現実はCPEがあてにならない」などの回答もあり、参加できなかった読者の方には、ぜひ動画で確認して欲しいディスカッションが展開された。

また、「ユーザーにツールを導入提案する時に、ユーザー環境や運用の現状を把握することが必要になると思うが、実際にはどういったかたちで導入提案をしているのか」「脆弱性管理では何が重要であるか」をディスカッションしている。

最終的に脆弱性管理は「運用が最も大事」（面氏）と結論づけて、パネルディスカッションは終了した。

当セミナーの詳細は、下記の動画をご覧ください。