文責:フォーティネット CISO カール・ウィンザー
サイバーセキュリティ製品は、製品ライフサイクルのすべての段階で強固なセキュリティを組み込むべきであり、サイバーセキュリティ・ベンダーは、製品のライフサイクルにわたって継続的なイノベーションと改善を提供すべきである。開発者がどれほど注意深くても、すべてのソフトウェアとアプリケーション・コードには必ずミスが含まれる。
大きな問題は、エラーが発見されたときにどうするかである。
ベンダーの対応は、オープンに開示するものから、存在を認めずに黙って修正するものまで様々である。このような一貫性のない対応は、ユーザーを無自覚のまま脆弱な状態に置き去りにしたり、急な修正に奔走させたりする。
このような取り組みに沿った責任ある情報開示プロセスを構築するための国際的なベストプラクティスや業界のベストプラクティスは存在するが、これらのアプローチは、強制的なものではなく、自主的なものであることがほとんどである。組織が責任ある情報開示プロセスを確実に採用することは、強力なサイバーセキュリティ体制を構築し、潜在的な脆弱性からユーザを保護するために極めて重要である。
組織は、サイバーレジリエンスを強化するために、標準化された倫理ルールとベストプラクティスに従った責任ある開発と情報開示の実践を約束するベンダーとの協業を強く求めるべきである。新たな脆弱性を悪用しようとする新たな脅威から組織を守るためには、重要かつタイムリーな修正プログラム、パッチ、アップデートの導入が不可欠です。
そのため、ベンダー候補を評価する際には、次の3つの質問をすることが極めて重要です。
1.ベンダーは徹底した製品テストを行っているか?その方法は?
テストには、多大なリソース、時間、熟練した人材、そして資金が必要です。一部のプロバイダーは、製品の市場投入を急ぎ、脆弱性が検出された場合にのみ対処している。
ベンダーは、強固なテストを実施するために必要な財務的、構造的、人的リソースが不足している可能性がある。脆弱性をほとんど開示しない、あるいは全く開示しないベンダーに遭遇するのは、このような限界に起因している可能性がある。
同時に、ベンダーの脆弱性数は、その事業規模や製品群と相関する傾向があることも忘れてはならない。脆弱性の数が多いからといって、自動的にセキュリティ対策や製品の品質が劣るということにはならない。重要なのは、開発サイクルから製品寿命が尽きるまで、製品のセキュリティを確保するために実施されるプロセスにある。
信頼できるサイバーセキュリティ・ベンダーは、すべての製品開発フェーズに厳格な内部テストと外部テストを組み込むべきである。タイムリーな脆弱性の検出-悪意のあるエンティティがそれを悪用する前に-は最も重要である。
これには、厳格なコードレビューと監査、静的・動的アプリケーション・セキュリティ・テスト(SAST & DAST)、侵入テスト、ファジング、および悪用可能な脆弱性を検出するための同様の取り組みなどが含まれます。
2.ベンダーは、内部で発見した脆弱性と外部から発見した脆弱性のバランスをどのようにとっていますか?
理想的には、ベンダーの積極的な開発・テストアプローチにより、内部発見比率が優位になることである。これは、顧客を保護するための積極的な取り組みを意味するだけでなく、ベンダーの強固なテストと情報開示に対するコミットメントを示すものでもある。
最近のある業界分析によると、平均的なソフトウェア・コード・サンプルには、コード100万行あたり6,000件の欠陥が含まれている。また、カーネギーメロン大学のソフトウェア工学研究所で行われた調査によると、これらの欠陥の約5%が悪用可能であるという。これは、1万行のコードにつき、悪用可能な脆弱性がおよそ3つあることになる。
その結果、広範な製品ポートフォリオを持つ企業は、そのコードベースの大きさだけで、より多くの脆弱性を開示している可能性がある。だからこそ、数字だけでは全体像が描けないことを覚えておくことが重要です。
脆弱性の数が多いからといって、必ずしもセキュリティが劣っているとは限りません。むしろ、分析対象となる製品の数が多いことを反映しているのだ。
責任ある開発と開示に対する積極的なアプローチは、リスクを事前に特定するだけでなく、修正プログラムの迅速な開発と展開を促進し、潜在的な悪用を未然に防ぐ。
3.ベンダーは報告された脆弱性をどのように扱っていますか?
自己発見に加えて、脅威研究者、業界団体、その他が積極的に脆弱性の発見を追求しています。これは、脅威行為者が脆弱性を悪用する前に脆弱性を確実に発見し、対処する上で非常に重要です。
多くのベンダーは、脆弱性が公に報告される前に修正プログラムやパッチを準備できるよう、責任ある情報開示を奨励するために、外部のグループと公然と協力しています。
ベンダーは、責任ある情報開示の実践についてオープンな議論を行う必要がある。ベンダが外部の研究者とどのように協力するかによって、ベンダの顧客とサイバー環境全体のセキュリティに対するコミットメントが明確になります。
脆弱性の発見と公開に対するベンダーのコミットメントを理解する必要があります。まずは、Cybersecurity and Infrastructure Security Agency(CISA)のSecure-by-Design原則やCyber Threat Alliance(CTA)の脆弱性開示ポリシーなど、信頼できる情報源を参照することから始めましょう。
CTAの脆弱性開示ポリシーによると、「ハードウェアとソフトウェアの脆弱性を特定し、報告し、対処することは、あらゆる組織のサイバーセキュリティプログラムの不可欠な要素である。
責任ある情報開示により、消費者などの利害関係者は、発見された脆弱性を迅速に知らされ、先手を打った対応が可能になります。信頼できるベンダーの多くは、責任ある情報開示の方針を文書化しています。それを見せてもらうよう求めるべきです。
一般的に、このプロセスは、発見された脆弱性を研究者が確立されたプロセスを通じて開発者に報告することから始まり、公開前にベンダーによる修復、場合によっては顧客による緩和のための時間を確保する。
このようなプロセスは、一部のベンダーが脆弱性の開示に抵抗するなど、サイバーセキュリティ・コミュニティ内でかなりの議論を経てきましたが、現在では業界のコンセンサスは、サイバーセキュリティ・ユーザに利益をもたらす責任ある開示の原則に傾いています。
責任ある開発と情報公開の実践がユーザを守る
積極的で透明性の高い情報開示は、消費者が自分の資産を効果的に保護するために必要な情報を効果的に入手できるようにします。
責任ある開発と情報開示の基本原則を理解したら、セキュリティ対策を強化するために顧客、独立研究者、業界団体、同業者と協力しているベンダーに注目しましょう。
例えば、CISAは最近、フォーティネットを含む60社以上のベンダーが署名した「Secure by Design」の誓約書を発表しました。この誓約書には、「抜本的な透明性の精神に基づき、製造者は、他の人々が学べるように、そのアプローチを公に文書化することが奨励される」などの「抜本的な透明性」の原則の要素が盛り込まれています。あなたのベンダーは、この誓約を取りましたか?内部から発見された脆弱性と、外部から発見された脆弱性の比率を尋ねてください。
報告された脆弱性の大部分は、自ら発見したものであるべきです。内部発見であれ外部発見であれ、改善された問題は透明性をもって開示され、責任を持って対処されるべきである。
サイバーセキュリティと重要なデジタル資産の保護に関しては、日光は最高の消毒剤である。
スポンサーおよび執筆:フォーティネット
Comments