ソフトウェアに危険な脆弱性が！大変だ！ - 本当なの？

何のことかわからないタイトルで申し訳ありません。この記事では、昨今巷を騒がせているソフトウェアの脆弱性について触れています。

脆弱性そのものを深堀りする前に、サイバーセキュリティ対策とは何のことで、脆弱性はその中でどんな意味や位置づけなのかを整理してみます。

私はサイバーセキュリティ対策とは、自社にとって最も起きてはならない事故が起きる確率を可能な限り0に近づけること、と捉えています。

事故が起きるリスクを分解すると下記のようになるかと。

リスク =  資産 x 脆弱性 x 脅威

脆弱性はリスクを組成する3大要素の1つでしかないため、脆弱性のみに着目して躍起になったとしても、根本的なリスク軽減には繋がらないはずです。

そもそも、ソフトウェアはバイアスやノイズやアンカーを持った人やAIが開発するもので、脆弱性はつきものかと思います。

いくら画期的なコードチェックソリューションを利用していたとしても、脆弱性の無いソフトウェアは生み出されないかと。

具体的な例を見てみましょう。(詳細はこちら)

例えば、脆弱性スキャンツールがソフトウェアをスキャンして、3rdパーティーのライブラリに重大な脆弱性があります、パッチを当てないと大変なことになりますよ！といった趣旨の報告を出しているシーンを想定してみます。

多くの脆弱性スキャンツールは、公開されている脆弱性情報とスキャン結果を突き合わせて、極めて危険・危険・やや不安・まあ安泰、といった定性的なレポートを出すケースがほとんどです。

かつ、それらのツールは、リスクを組成する3大要素の1つしか見ていないため、攻撃グループが考えていること(=脅威)までは加味していないですね。

下記のスクリーンは、脆弱性スキャンツールのレポートをAnomaliのツールでスキャンした結果です。

脆弱性スキャンツールは、発見された脅威が極めて危険と謳っていて、下記のセンテンスを強調しています。

これは、業界標準で言うAttack Patternに該当していて、Anomaliの脅威インテリジェンスプラットフォームは既知の脅威と認識していることがわかります。

By providing specially crafted input, an attacker can cause the regular expression matching to take an excessive amount of time, resulting in a significant performance degradation or even a complete system freeze.

攻撃パターンは既にわかっていて適切な対策ができていれば、極めて危険な脆弱性であっても目くじらを立てる必要はないですね。

長文にお付き合い頂きありがとうございました。何事も複数の視点で冷静に判断すべきですよね。自分への戒めとして。