対談
なぜ「脆弱性報奨金制度」なのか

近年、外資系大手ソフトウェアメーカーを中心に、「脆弱性報奨金制度」を実施することが主流となっています。弊社でも、大切なお客様に安心して弊社製品・サービスを活用いただくために、さらなる脆弱性対策として「Sky脆弱性報奨金制度」をスタートします。
本制度を監修いただいた株式会社川口設計の川口洋氏と弊社担当者が、本制度による脆弱性対策の有効性などについて語りました。

株式会社川口設計代表取締役 / CISSP / CEH川口 洋

2002年 大手セキュリティ会社に就職。社内のインフラシステムの維持運用業務ののち、セキュリティ監視センターに配属。
2013年~2016年 内閣サイバーセキュリティセンター(NISC)に出向。行政機関のセキュリティインシデントの対応、国民向け普及啓発活動などに従事。
2018年 株式会社川口設計 設立。

悪用される前にパッチの準備と提供が可能

Sky弊社が「脆弱性報奨金制度」に取り組もうとしていると聞いたとき、どう思われましたか?

川口氏コンサルティングの依頼を受け、2016年に発覚した脆弱性への対応についても詳しく伺ったのですが、とにかくSkyさんの顧客対応に驚きました。全ユーザーへのDM(ダイレクトメール)発送、電話連絡、さらに脆弱性パッチの適応状況も個別に確認したと聞いて、正直「そこまでやるの?」と思いました。多くのITベンダーは、脆弱性パッチを作ってそれを公表したらそこで終わりです。それが当たり前だと思っていたので衝撃を受けましたし、ユーザーのために徹底的に対応する企業なんだという印象を持ちました。あの一件があってソフトウェアの脆弱性を作り込まないためにさまざまな対策に取り組まれているので、残っているのは「脆弱性報奨金制度」くらいだったのではないでしょうか。

Skyすでに思いつく限りの対策は実施してきたつもりでしたが、世界的に脆弱性を狙った攻撃が激化している状況を見ると、弊社商品の脆弱性を狙った攻撃からお客様を守るためには、さらに何ができるのかを考え続けていました。

川口氏ソフトウェアの開発に、Skyさんの何倍もの予算をかけているマイクロソフトやGoogleなどの企業でも、脆弱性をゼロにすることは不可能です。残念ながら脆弱性が作り込まれてしまうのはどうしようもないため、ソフトウェアを提供している企業であれば、広く脆弱性情報を集めることのできる「脆弱性報奨金制度」を取り入れるべきだと思います。すでにグローバルに展開されているITベンダーでは取り入れることが当たり前になっていますので、Skyさんがこのタイミングで実施することにしたのは、良かったのではないでしょうか。

Skyさんは、脆弱性報告者から要望があれば、追加調査のための環境貸し出しもしますよね。

Sky報告者からの要請があって、弊社が承認した場合に限り検証環境を貸し出します。報奨金に加え、さらにお金のかかる検証環境の貸し出しをなぜやるのかと思う方もいらっしゃるかもしれません。

脆弱性を悪用した攻撃が見受けられると、脆弱性パッチをお客様へいち早く提供することが何よりも優先されるため、通常の開発をいったんストップして、全力をあげて準備する必要があります。一方、報告者から脆弱性をお知らせいただけた場合には、脆弱性が悪用される前に準備と提供ができるので、ゼロデイ攻撃を防ぐことができます。弊社は、事前に脆弱性パッチを準備して提供できるのであれば、調査のための環境を用意するためのコストは、決して高くないと判断しています。

川口氏Skyさんに直接連絡してもらえれば、余裕を持った体制でいち早く脆弱性パッチを作れますし、ユーザーにとってもそれが一番望ましいですからね。

Sky脆弱性を狙ったサイバー攻撃の増加で、ソフトウェアやサービスは最新版を使わなければ危険だと認識される方が増えたように思います。しかし、脆弱性対策パッチを業務で使用している稼働中のシステムに適用することには、慎重になられる企業も多く、そのような背景を知っているサイバー攻撃者が、企業が慎重になっているのを悪用してサイバー攻撃を行っているという事実もあります。脆弱性パッチの配信にも使用できるSKYSEA Client Viewのような商品を提供しているメーカーとしては、もっとお客様に脆弱性対策の重要性を伝えていきたいと思います。

川口氏どれだけ対策してもゼロにはできない、ソフトウェアにとってずっと付き合っていかなければならないのが脆弱性です。導入しているソフトウェアに脆弱性が出たからほかに切り替えると言いたくなるユーザーの気持ちもわかりますが、替えたそのソフトウェアが脆弱性を出さない保証はありません。脆弱性に対してユーザーが行うべきなのは、事実を素早く知って適切に対応することです。そのためには、連絡体制が整っているITベンダーをユーザー自身が見極めていく必要がありますが、その材料の1つが「脆弱性報奨金制度」だと思います。

ソフトウェアだけでなくWebサイトも対象に

Sky今後、日本企業のDXが順調に進んでいけば、アナログで処理していた工程がデジタル化され、お客様にとっての脆弱性対策の重要度がこれまで以上に上がっていくと感じています。

川口氏ランサムウェアによって患者データが暗号化され電子カルテが使用できなくなった病院や、決算報告を延期せざるを得なくなった企業など、サイバー攻撃による被害の影響の大きさから、自社のシステム管理を強化する意識は高まってきていると思います。では、そのために何をしなければいけないかを考えたとき、まず浮かぶのがセキュリティ脆弱性パッチの適用やアクセス制御でしょう。しかし、一番大事なのは「何を持っているのかを把握して、もれなく管理すること」です。セキュリティ対策にIT資産管理が重要であることは、グローバルに普及しているセキュリティのフレームワーク「CIS Controls」にも最優先事項として記載されています。もれなく管理するためにはIT資産管理ツールの活用が有効なので、すでに多くの企業・組織が導入済みです。しかし、情報システム部門の方が運用されるシステムの中でも、IT資産管理ツールは特に重要な役割を担い強い権限を必要とするため、攻撃者にはとても魅力的なツールでもあります。

2020年~2021年は、米国のITベンダー製のIT資産管理ツール「SolarWinds」や「Kaseya VSA」などの脆弱性を狙った攻撃が相次いで発覚しましたが、強固なセキュリティ対策を実施している政府機関や著名なIT企業などが被害に遭うほどの、非常に高度な攻撃が行われたことでも話題になりました。今後、ユーザーのセキュリティを確保するためのソフトウェアに対しては、さらに上のセキュリティレベルが求められることになるでしょう。

Sky弊社では提供するソフトウェアの脆弱性対策に注力しています。しかし、日々努力はしていますが、ソフトウェアが大規模になり、多くのお客様に多種多様な環境で活用いただいている状況で、ソフトウェアメーカーとしてのベストな姿を見いだせていません

川口氏ユーザーの環境に影響される脆弱性もあります。予算と時間の制約の都合もあり、セキュリティベンダーが提供する脆弱性診断だけですべての脆弱性を見つけることは難しいと思います。やはり、多くの人から情報を得ることが迅速な修正対応と速やかな公表につながるため、「脆弱性報奨金制度」のような仕組みが有効です。Skyさんは、ソフトウェアだけでなく自社で公開しているWebサイトも制度の対象にしていますね。

Sky弊社のWebサイトが攻撃を受けて改ざんされてしまえば、お客様に多大なご迷惑をお掛けしてしまうため、Webサイトに対しても以前から複数の第三者機関による脆弱性診断を実施してきました。診断する人によってチェックの観点が違うのですが、ここが機械的なチェックとは異なる大事なポイントだと考えていますので、人間が診断することを毎回必ず発注条件に入れています。

脆弱性に対し真剣な企業なのか判断する材料

川口氏よく有名税と言われますが、サイバー攻撃の世界にも有名税があります。各ジャンルの1位が対象となる場合が多いのですが、攻撃の対象になりやすいというだけでなく、マスコミに取り上げられやすい傾向があります。脆弱性に関しても、他社と同じレベルの深刻度なのに、なぜか有名な企業の方が深刻度を表すCVSS値が高かったり。Skyさんは各種調査で1位を取られていますしCMでも頻繁に見かけますから、取られてしまうでしょうね。

Sky私どもでは過去の経験から、CVSS値が必ずしも弊社商品をお使いのお客様への影響度合いと一致するわけではないと認識していますので、報奨金の金額設定にはCVSS値だけでなく、弊社のお客様への影響度合いを連動させています。

川口氏脆弱性に関する報告は、グローバルに展開していない企業の場合、それほど多くはないと思いますが、久しぶりに報告が届いた際にミスなく対応できるよう、日ごろから体制をメンテナンスしておく必要があります。関係する部門の人たちとの共有理解の継承が制度の安定稼働には重要ですが、今年度は大丈夫でも人の異動によって来年度はうまく対応できない事態にもなりかねません。Skyさんは大丈夫ですか?

Sky報告者からの脆弱性報告情報の受付は、弊社のCSIRTチーム「Sky-SIRT」が担います。弊社の商品をユーザーとして使用している情報システム部門のメンバーを中心に構成していますので、日ごろから開発部門と連絡を取り合っていますし、外部のセキュリティベンダーからのレビューも受けています。これまでのやり方をベースにした体制を構築したことで、「脆弱性報奨金制度」以外にも関係部署間の連携が生かせると考えています。

川口氏お金を払ってまで脆弱性情報を受けつけるには、それ相応の体制を整える必要があります。「脆弱性報奨金制度」は、ユーザーにとってそのITベンダーが真剣に脆弱性対策に向き合っているか企業の姿勢を判断する材料として、ツールを選定する際の判断基準の1つとなるのではないでしょうか。今後、日本でも実施する企業が増えていくことを期待しています。

※「Sky-SIRT」について、詳細はこちらをご覧ください。

(「SKYSEA Client View NEWS vol.82」 2022年1月掲載 / 2021年12月オンライン取材)

情報誌『SKYSEA Client View NEWS』のご紹介
ページのトップへ
ささいなご質問にも専門スタッフがお答えします!導入相談Cafe 詳しくはこちら