2024年9月24日更新
2月には、米国国立標準技術研究所 (NIST) の国家脆弱性データベース (NVD) によって処理され拡充された脆弱性の数が減少に転じました。VulnCheckの調査によると、5月までに、新しい脆弱性の93.4%と、悪用された既知の脆弱性の50.8%がまだ分析を待っている状態でした。
3か月経っても、問題は解決していません。NISTは軌道に乗る計画を立てているものの、共通脆弱性識別子（CVE）の現状分析では、新たな脆弱性検知が間に合っていません。ここでは、バックログの背後にあるもの、CVE がもはや IT 防御の決定打ではなくなった理由、そしてセキュリティ チームが攻撃者の攻撃に先手を打つ方法について見ていきます。
予算削減は、CVE分析が直面する問題の原因の1つです。Security Magazineが指摘しているように、NIST の資金は今年 12% 削減され、同機関が CVE を充実させることがさらに困難になっています。実際には、NVD は実質的に CVE データの下流の消費者です。発見され報告される CVE の数に変化はないですが、これらの脆弱性を評価して拡充する NIST の能力は大幅に低下しています。
報告された脆弱性の数が膨大であることも、分析作業にとって問題となっています。Flashpointの調査によると、NIST は 2023 年に 33,137 件の脆弱性を報告しました。数値の増加は、部分的には検出能力の向上に関係しています。企業がクラウドベースのテクノロジーと AI 対応ツールを活用してセキュリティ対策を拡大するにつれて、潜在的な脅威をより正確に特定できるようになります。その結果、数値が大きくなることは必ずしもリスクの増加を示すものではありませんが、潜在的な攻撃経路が増えていることを示してもいます。
NIST にはバックログを解消する計画があります。USASpending.govによると、政府はAnalygenceとサイバーセキュリティー分析および電子メール サポートの契約を 860,000 米ドルで締結しました。分析作業は6月3日に開始される予定で、NISTは2024年9月までに軌道に戻ることを期待しています。この契約は2024年12月に終了する予定ですが、2025年7月までサービスを延長するオプションもあります。
NVDバックログに関する懸念は理解できます。NIST が CVE を分析して効果的な対策を提案するのに時間がかかるほど、企業にとってのリスクは増大します。
しかし、Cybersecurity Diveが指摘するように、サイバーセキュリティーランドスケープは変わりつつあります。Gartner のバーチャル セキュリティおよびリスク管理サミットで、主席アナリストのMitchell Schneider氏は、脆弱性の総数は今後増加するものの、深刻な CVE は高、中、低の CVE を上回っていないと指摘しました。
さらに、攻撃者は CVE の重大度を侵害の基準として使用していません。「脆弱性と、脅威アクターがその重大度評価の観点からその脆弱性を悪用しているかどうかの間には、固有の相関関係がありません」とSchneider氏は述べます。代わりに、攻撃者は最も悪用されやすい脆弱性を優先しており、これは多くの場合、重大度が中または低とランク付けされている脆弱性です。
実際には、これは「木を見て森を見ず」のシナリオを生み出します。企業が深刻な CVE に重点を置きすぎると、攻撃者がネットワークにアクセスしてより重要なシステムに動きを起こすことを可能にするエクスプロイトを見逃す可能性があります。
結果的に、共通の脆弱性データベースは効果的なセキュリティの重要な部分であることに変わりはありませんが、特効薬ではありません。サイバー脅威の手口は変化しており、セキュリティチームはそれに応じて変化する準備をする必要があります。
では、この変化は実際にどのようなものなのでしょうか。
NVD の追加が遅れている中で、企業がより優れた防御策を構築するうえで、4 つの考慮事項が役立ちます。
攻撃方法とパターンが多様化しているため、企業は IT の可視性を優先する必要があります。クリティカル データにはオンプレミス ストレージ、テストと開発にはパブリック クラウド、簡単に拡張可能なアプリケーションリソースにはプライベート クラウドを使用している企業を考えてみましょう。
現在の新たな脅威は、いつでもどこからでも攻撃してくる可能性があります。検出されなければ、攻撃者はデータを収集し、理想的な攻撃経路を特定しながら時間を稼ぐことができます。そのため、完全な可視化が重要です。企業が自社の環境全体で何が起こっているかをより詳しく把握すればするほど、攻撃を検出、特定、軽減する準備が整います。
Gartnerが明らかにしているように、攻撃者にとっては現在、悪用可能性が最優先事項となっています。短期的には、より深刻な脆弱性の方が価値のあるターゲットとなる可能性がありますが、悪用可能な中程度または低程度の深刻度の弱点は、攻撃者が継続的に攻撃を成功させるための材料となる可能性があることです。
たとえば、悪意のある攻撃者がビジネス ネットワークのエッジで中程度の重大度の脆弱性を悪用できると仮定します。その場合、企業システムへの永続的なアクセスを提供するバックドアを作成および維持できる可能性があります。そこから偵察を行い、セキュリティチームが他の脆弱性に気を取られるまで時間を稼ぐことができます。
最も深刻な脆弱性ではなく、最も悪用されやすい脆弱性をターゲットにすることで、セキュリティ チームは攻撃が成功する可能性を減らすことができます。
セキュリティーはもはやITチームだけの役割ではありません。経営、財務、マーケティング、営業、カスタマー・サービスチームが、企業の安全を守るうえで果たすべき役割を担っています。セキュリティーに対する最終的な責任は依然としてテクノロジー専門家にありますが、チーム間で責任を共有することで、検出率を向上させ、特定から対処までの時間を短縮することができます。
NVDバックログ発生に伴い、セキュリティー・チームは代替のリソースを見つけて活用することが重要です。考えられるセキュリティー・ソースには、次のようなものがあります。
NISTは2024年9月までにNVDバックログを解消したいと考えていますが、その取り組みが成功する保証はありません。The Recordが指摘したように、Senator Mark Warner社（D-VA）とThom Tillies社（R-NC）は、NISTへの資金を復活させ、AIを活用した脅威などの新しいリスクに焦点を当てる法律を提案していますが、この法案はまだ初期段階にあります
言い換えれば、政府機関や連邦議員は CVE 分析と強化のクリティカルな影響を認識しているものの、企業は最新の脆弱性データを提供するために NVD に依存することはできません。
代わりに、進化する攻撃者のやり方に合わせてアプローチを変更する方が、企業にとって効果的です。可視性を向上させ、悪用可能性を特定するのに役立つツールを実装することで、企業はリスクの高い脅威に優先的に対処できます。さらに、部門間でセキュリティの負担を分散し、利用可能なセキュリティ情報の使用を拡大することで、企業は変化する攻撃の優先順位に、より効果的に対応できるようになります。
訂正: この記事は、NVD と CVE の違いを明確にするために更新されました。CVE プログラムは、公開された脆弱性を CVE レコードを通じてカタログ化しますが、NVD は CVE プログラムのデータの下流の消費者です。
