ペースの早いソフトウェア開発の世界で、エンジニアはセキュリティ脆弱性検知に関するアラートの渦に溺れてしまいがちです。どのアラートにも深刻度のレートがタグ付けされ、警戒を訴えます。しかし、そのような深刻度ベースのレートは時間と労力の浪費を招きかねません。それらが必ずしも、問題の真のリスクや悪用可能性を反映しているわけではないからです。直ちに対処が必要なことは何かを理解する――誰もが共通脆弱性識別子(CVE)に溺れそうになっているなかで、これは皆に共通する問題点です。
これを受け、私たちはNew Relic Vulnerability Management(脆弱性管理)に、より開発者中心のアプローチに焦点を移すことにしました。ノイズを排除し、組織にとって本当に問題となる脆弱性を突き止めるための方法です。セキュリティチームとエンジニアの両者が、注意すべきことに関してより具体的な理解を得るために、データドリブンなアプローチを使用します。ここでは深刻度だけでなく、ランタイムにおける読み込み内容、悪用可能性の高さ、エクスプロイトの実証、さらにアクティブなマルウェアキャンペーンでの悪用が考慮されます。
深刻度ベースの優先順位付けの欠点
共通脆弱性評価システム(CVSS)により提示される数値などの深刻度スコアは、セキュリティチームにとって不可欠なものとなっていますが、そこには限界があります。「重大」な深刻度スコアは必ずしも、脆弱性が積極的に悪用されていたり、そもそも具体的な環境において悪用可能であることを示すものではありません。結果として、セキュリティチームは個別の調査プロセスに多大な労力を費やすことになり、スキャンベースのツールを増やして複数のソースからこの種の詳細情報を取得します。挙げ句の果てに、開発チームに優先順位のリストを提供する頃にはその情報は陳腐化しています。あるいは、チームは単純に深刻度に従い、実際には「高い(high)」脆弱性よりもセキュリティリスクが低い「重大な(critical)」脆弱性の修正に膨大なリソースを注ぎ込みます。
戦略的なアプローチへ:深刻度の比較・EPSS・エクスプロイトパスの実証・既知のランサムウェア
優先順位付けの新たな手法では、エンジニアとセキュリティチーム両者が注力すべき対象を精緻化します。私たちは、脆弱性悪用可能性スコアリングシステム(EPSS)による予測からの実用的なインテリジェンスと、CISA KEVカタログのようなリソースからのアクティブな悪用可能性データを考慮して脆弱性の深刻度を検討します。この戦略により、チームはオープンソースのパッケージへの依存が大きいアプリケーションに対して明らかなリスクを与える脅威に労力を集中させることができます。
インタラクティブ・アプリケーション・セキュリティ・テスト(IAST)がさらにこの注力を精緻化します。実際のエクスプロイトパスを明らかにすることで、IASTは、脅威であるだけでなくソースコード上の実際に悪用されうる脆弱性を明確化します。このインテグレーションによりチームの業務は能率化され、本当に重大なセキュリティの問題を最優先に対処し、ソフトウェアの防御を効果的に強化できるようになります。
新たに追加された比較システムでは、様々な外部データポイントからの入力に対して客観的尺度を提供する、以下の4つの主要素が考慮されます。
- CVE深刻度:脆弱性の潜在的影響に対する確立されたベースライン
- 脆弱性悪用可能性スコアリングシステム(EPSS):脆弱性がウイルスやマルウェア、ランサムウェアに悪用される可能性を測定する予測モデル
- 既知のランサムウェアとの関連性:CISAなどの機関による分類に従った、脆弱性がランサムウェアキャンペーンの一環として実際に使用されているかどうかの情報。
- IAST悪用可能な脆弱性:運用中のアプリケーションの実際のエクスプロイトパスで脆弱性を特定するリアルタイムの検査方法。理論的に脅威であるだけでなく、実際に悪用可能な問題に注目する。
優先度比較機能のメリット
独自の優先度比較機能は、New Relicのプラットフォームだけでなく、サードパーティのセキュリティツールをデータソースとして使用し、チームが以下を通じてセキュリティの効果を最大化できます。
- 狙いを絞ったリソース配置:もっとも悪用されそうな脆弱性に焦点を絞り、セキュリティチームやエンジニアチームの労力が最大限効果を発揮できるようにします。
- プロアクティブな防御:すでに既知のランサムウェアの標的となっている脆弱性や、デプロイ直前のアプリケーションの新バージョンの脆弱性に的を絞ることで、侵害が発生する前に防御を強化します。
- 順応的なセキュリティ:最新のインテリジェンスに基づき優先順位をすばやく再調整し、デジタルの風潮がどう変化してもセキュリティ体制を柔軟に、すばやく反応できるようにサポートします。
まとめ
組織がDevSecOps文化を採り入れることを支援する私たちのジャーニーは、アラート疲れを軽減し、開発者の負担を減らす取り組みにより進捗しています。パッケージの品質からサプライチェーンの統合、その他のさらなるインサイトによって、優先度プロセスを強化する方法を常に模索しています。これらの進化は、もっとも重要かつ緊急のリスクを洗い出し、開発者がセキュリティ強化とアプリケーションの堅牢性に注力できるようにするためのものです。
EPSS、悪用可能な脆弱性のデータ、アクティブなランサムウェアやマルウェアの活動を優先順位付けのプロセスに組み込み、組織がもっとも重要な分野の防御を強化できるようにします。手法やツールを洗練化させると同時に、私たちは誰もがこの脆弱性管理のための新たな開発者中心の方法を採り入れることを推奨します。
今後も、私たちは世界各地の開発者やセキュリティ組織のためのセキュリティ強化への取り組みを進めていきます。その進捗にぜひご注目ください。その推進力に加わることで、私たちは単に防御を強化しているだけでなく、デジタル世界のより安全な未来を形作っているのです。
次のステップ
New Relic Vulnerability Management(脆弱性管理)の利用を今すぐ開始しましょう。
無料のNew Relicアカウントをお持ちの場合、サポートされているエージェントをご使用であればNew Relic Vulnerability Management(脆弱性管理)をご利用いただけます。詳細については、New Relicアカウント担当者に問い合わせて開始してください。
New Relicアカウントをまだお持ちでない場合は、無料のアカウントに今すぐサインアップしてください。無料のアカウントには毎月100GBの無料データ取込みと1名のフルユーザーが含まれます。
本ブログに掲載されている見解は著者に所属するものであり、必ずしも New Relic 株式会社の公式見解であるわけではありません。また、本ブログには、外部サイトにアクセスするリンクが含まれる場合があります。それらリンク先の内容について、New Relic がいかなる保証も提供することはありません。