「SBOM に惑わされるな」- SSVC による企業システムの本質的な脆弱性リスク管理の実践

Transcript

1. Copyright © 2023 by Future Corporation - 1 - 「SBOMに惑わされるな」


   SSVCによる企業システムの
 本質的な脆弱性リスク管理の実践
 
 Future株式会社
 
 ※資料は後日公開します


2. Copyright © 2023 by Future Corporation - 2 - 自己紹介


   神戸康多（かんべこうた） フューチャー株式会社 OSS脆弱性スキャナ「Vuls」作者 脆弱性管理クラウド「FutureVuls」の運営 実績 ▪ Vuls普及のために３０回以上登壇 ▪ BlackHat Asia Arsenal, HITCONなど海外カンファレンス講演 ▪ 情報処理学会ソフトウェアジャパン2020 アワード ▪ Google OSS Peer Bonus Winners of 2022

3. Copyright © 2023 by Future Corporation - 3 - 本日のアジェンダ


   脆弱性管理の課題
 SBOMとSBOM導入後の課題
 SSVCによるリスク判断手法
 FutureVulsのSSVC実装例


4. Copyright © 2023 by Future Corporation - 4 - 本日のアジェンダ


   脆弱性管理の課題
 SBOMとSBOM導入後の課題
 SSVCによるリスク判断手法
 FutureVulsのSSVC実装例


5. Copyright © 2023 by Future Corporation - 5 - 継続的な脆弱性管理は必須だが、組織の対応力は十分ではない


   攻撃者が最初に使用する攻撃経路の32%は既知の脆弱性の悪用である。 （※１）
 米国の平均的な組織は新規に検知された脆弱性の10%しかパッチを当てられない。 （※２）
 出典：Mandiant M-Trends 2023 By The Numbers Infographic 
 
 <攻撃者が最初に使用する攻撃経路> 
 <月ごとのOpen/Closeできた脆弱性数の分布（100組織を調査）> 
 出典：Cyentia Institute The Hidden Complexity of Vulnerability Remediation: Bridging the Gap between Data and Common Advice 
 すべての脆弱性数に対応できた場合
 (Open=Close)
 実 際 に対 応 できた脆 弱 性 数 
 (Open＞ Close)


6. Copyright © 2023 by Future Corporation - 6 - 本日のアジェンダ


   脆弱性管理の課題
 SBOMとSBOM導入後の課題
 SSVCによるリスク判断手法
 FutureVulsのSSVC実装例


7. Copyright © 2023 by Future Corporation - 7 - 国内でも耳にする機会が増えてきた「SBOM」


   SBOM（ソフトウェア部品表）により 構成情報、脆弱性、ライセンス等 を共通フォーマットで定義し流通で きるようになる。
 SBOM
 ～Software Bill of Materials～ 
 背景
 ✔米国政府での調達時にSBOM活用 が必須化
 　(大統領令EO14028) 
 ✔多国間取引企業を含めSBOM整備のが義務化された ことで2021年頃から急速に普及 
 
 概要
 ✔日本語にすると「 ソフトウェア部品表 」
 ✔機器のソフトウェアを構成するアプリケーション・コン ポーネント、脆弱性情報、ライセンス情報等をリスト化 
 ✔サプライチェーン上のリスク管理に活用 できる
 
 Supplier Application Version 
 …
 SBOM A
 Supplier Application Version 
 …
 SBOM α
 SBOM a,b
 Supplier Application Version 
 …
 SBOM B
 SBOM c,d
 SBOM A,B
 SBOM a,b
 Supplier Application Version 
 …
 SBOM b
 Supplier Application Version 
 …
 SBOM a
 Supplier Application Version 
 …
 SBOM c
 Supplier Application Version 
 …
 SBOM d
 SBOM c,d
 早期に脆弱性を 発見可能


8. Copyright © 2023 by Future Corporation - 8 - 特にPSIRT領域ではSBOMの効果が大きい


   製造業のサプライチェーンに見られる「多数の組織にまたがる複雑な階層的ソフトウェア構造」は、現 状管理されていないことが多く、SBOMの活用が有効。 
 PSIRTの場合 CSIRTの場合 対象システム 自社プロダクト・制御製品 情報システム 従来の脆弱性管理の課題 製造業サプライチェーンのソフトウェアは 管理されていないことが多い 商用製品やNW機器等の脆弱性情報が貧弱 SBOM導入の効果 構成情報、脆弱性、ライセンスが 可視化きるようになるので効果は大きい ツールで既に管理している組織にとっては SBOMにより得られる効果は小さい 脆弱性
 ライセンス
 構成情報
 OS
 ミドルウェア
 ライブラリ
 Webアプリ（別途診断必要） 
 NW機器
 アプライアンス
 SBOM
 商用製品
 ※OSやライブラリの検知精度は100%だが、商用製品ベンダやJVNから現在提供されるアドバイザリは影響バージョンがマシンリー ダブルではない。SBOMの潮流で改善されればNW機器や商用ソフトウェアの検知精度が良くなる。


9. Copyright © 2023 by Future Corporation - 9 - SBOM導入後の脆弱性のトリアージが課題


   ただSBOM導入しただけでは不十分。重要なのは 高リスク/攻撃に使われる脆弱性への継続的な対応 である。現実的に対応可能な脆弱性の絞り込み手法の利用が必要。 
 <CVSSスコアごとの件数> 
 CVSSでは対応可能な数に絞り込めない ※NVDのうちCVSS v3.0のスコアがついている138,873件の脆弱性を集計
 約1.4万件 2.24%　約4,615件
 ＜攻撃に利用される高リスクな脆弱性＞ 
 CVSSスコアに関わらず攻撃に使われる脆弱性は少ない Exploit公開情報や、CISA-KEV、JPCERT/CCの注意喚起等で絞りこむにも知識と手間が必要 課題
 課題
 課題
 出典: Qualys Part 1: An In-Depth Look at the Latest Vulnerability Threat Landscape 


10. Copyright © 2023 by Future Corporation - 10 - 本日のアジェンダ


    脆弱性管理の課題
 SBOMとSBOM導入後の課題
 SSVCによるリスク判断手法
 FutureVulsのSSVC実装例


11. Copyright © 2023 by Future Corporation - 11 - SSVCは、決定木を用いて対応優先度を出力するフレームワーク


    リスク =「脆弱性」x「脅威」x「資産重要度」 を元に脆弱性の対応優先度を導出可能。 
 決定木を用いることで専門家でなくても対応優先度を判断できる。 
 SSVC ～Stakeholder-Specific Vulnerability Categorization～ 
 背景
 ✔2019年にカーネギーメロン大学が提案 
 
 概要
 ✔「脆弱性管理で優先順位付け 」をするため のフレームワーク 
 ✔いくつかの決定木が用意されている 
 - CERT向けの「coordinator tree」 
 - 運用者向けの「deployer tree」 
 - PSIRT向けの「supplier tree」 
 ＜Depoyerツリー（運用者向け）＞ 


12. Copyright © 2023 by Future Corporation - 12 - 本日のアジェンダ


    脆弱性管理の課題
 SBOMとSBOM導入後の課題
 SSVCによるリスク判断手法
 FutureVulsのSSVC実装例


13. Copyright © 2023 by Future Corporation - 13 - FutureVulsの紹介

    - 国産の脆弱性管理SaaS
 日々の継続的な脆弱性管理を効率化。専門家でなくてもリスク判断可能。 
 新規に公開された脆弱性にすぐに気づけるので、 高リスクな脆弱性に先手を打って対応。
 様々な業界の企業様に導入頂いています Cisco, Fortinet等のNW機器 Linux, Windows, Mac Java等のOSSライブラリ クラウド / オンプレ / 閉域環境 商用ソフトウェア 管理対象 ライセンス管理 チケット管理 資産管理 SBOM入出力 脆弱性管理 基本機能

14. Copyright © 2023 by Future Corporation - 14 - FutureVulsのSSVC機能はトリアージと対応指示を自動化


    検知した脆弱性を４つの優先度に振り分けて対応期限などを設定し対応指示まで自動化。 
 後日Exploitが公開されて「脅威」が変化した時点で、自動で再判断可能。 
 Immediate
 構成情報
 脆弱性
 検知処理
 タスク
 
 - ステータス 
 - 対応期限 
 - 優先度
 - 担当者
 - コメント
 Scheduled
 脆弱性情報
 SSVC決定木
 脅威の変化で再判断 
 SSVC結果が変更されたらタスクを自動で再設定 
 対応期限などを自動設定して対応指示 
 SBOM


15. Copyright © 2023 by Future Corporation - 15 - FutureVulsのSSVC機能の初期設定は２ステップで完了


    初期設定は「インターネット露出度」と「資産重要性」の２つを設定する。 
 また、SSVCで導出された結果に応じてタスクを自動設定するルールを定義するだけで完了。 
 immediate に分類されたタスクの 
 - ステータス：未対応
 - 優先度を　：High
 - 対応期限　：７日後
 に自動設定して自動で対応を指示 
 そのシステムの
 - インターネット露出度 
 - 資産重要性
 といった環境情報を設定 
 <環境情報の設定画面> 
 <タスク自動設定のルールを設定する画面> 


16. Copyright © 2023 by Future Corporation - 16 - Dev/Ops目線の日々の運用


    運用者は immediate 検知の通知受けてログイン。決定木、プロセスやPort開放状態、
 IPSルール有無、脆弱性情報、CERT注意喚起、Exploit情報等を画面から確認して対応する。 
 Login
 決定木の判断理由
 
 攻撃がアクティブかつ、
 インターネット公開システム か つ、RCEかつ、重要システムな のでimmediate と判断された
 「ソフトウェア名」
 「プロセス有無」
 「Port開放状況」
 対象機器や対応期限等 
 「脆弱性情報」
 「CERT注意喚起」
 「Exploit情報」


17. Copyright © 2023 by Future Corporation - 17 - CSIRT目線の日々の管理


    CSIRTは全社横断で immediate と out-of-cycle の対応状況を追跡。
 対応期限が超過したタスクには一括で対応を催促できるので楽。日々の工数を削減。 
 immediate に分類されたタスクのうち 
 「未対応」かつ「対応期限が超過している」 
 などでフィルタ
 タスクの担当者に対応を催促。 
 一つの操作で全社の担当者に指示 
 一 括 選 択 


18. Copyright © 2023 by Future Corporation - 18 - ５つの環境を想定してSSVCの分類を実験


    「4,716件」の脆弱性をSSVCで分類した。 
 immediate と out-of-cycle を見ると、現実的に対応できる数に絞り込めている 。
 Immediate out-of-cycle immediate/out-of- cycleの割合 scheduled defer インターネット公開の「超」重要システム 16 2100 44.8% 2600 0 インターネット公開の重要システム 16 50 1.4% 4650 0 社内NWの基幹システム（販売管理など） 0 16 0.33% 4700 0 業務影響が小さい社内システム(勤怠管理など) 0 0 0% 4716 0 閉域網の「超」重要な基幹系システム 0 16 0.33% 4700 0 CVSS ≧ 7.0 は「2,863件」、CVSS ≧ 8.0 は「990件」。CVSSだけでは絞り込めない。 


19. Copyright © 2023 by Future Corporation - 19 - まとめ


    特にPSIRTで扱うサプライチェーンの構成管理は現状困難なため効果を発揮する 
 継続的なトリアージと脆弱性対応が重要 
 SBOMは今後さらなる普及が見込まれる SBOM対応後のトリアージが課題。CVSSによる判断は運用はまわらない。 
 SSVCのような別のリスク判断方法が必要だが、人手では多大な人的コストがかかる FutureVulsのSSVC機能はトリアージから対応指示まで自動化可能。運用がまわる 脆弱性管理製品で自動化しましょう 

20. None

21. Copyright © 2023 by Future Corporation - 21 - 参考　ソフトウェア管理に向けたSBOMの導入に関する手引


    今年7月に経済産業省手引書を公開しており、今後国内でも広く普及すると推察される。 
 SBOM導入プロセス 
 出典：経済産業省
 ソフトウェア管理に向けたSBOM（Software Bill of Materials）の 導入に関する手引 Ver. 1.0