「SBOM に惑わされるな」- SSVC による企業システムの本質的な脆弱性リスク管理の実践

Slide 1

Slide 1 text

Slide 2

Slide 2 text

Copyright © 2023 by Future Corporation - 2 - 自己紹介  神戸康多（かんべこうた）フューチャー株式会社 OSS脆弱性スキャナ「Vuls」作者脆弱性管理クラウド「FutureVuls」の運営実績 ■ Vuls普及のために３０回以上登壇 ■ BlackHat Asia Arsenal, HITCONなど海外カンファレンス講演 ■ 情報処理学会ソフトウェアジャパン2020 アワード ■ Google OSS Peer Bonus Winners of 2022

Slide 3

Slide 3 text

Slide 4

Slide 4 text

Slide 5

Slide 5 text

Copyright © 2023 by Future Corporation - 5 - 継続的な脆弱性管理は必須だが、組織の対応力は十分ではない  攻撃者が最初に使用する攻撃経路の32%は既知の脆弱性の悪用である。（※１）  米国の平均的な組織は新規に検知された脆弱性の10%しかパッチを当てられない。（※２）  出典：Mandiant M-Trends 2023 By The Numbers Infographic     <攻撃者が最初に使用する攻撃経路>   <月ごとのOpen/Closeできた脆弱性数の分布（100組織を調査）>   出典：Cyentia Institute The Hidden Complexity of Vulnerability Remediation: Bridging the Gap between Data and Common Advice   すべての脆弱性数に対応できた場合  (Open=Close)  実際に対応できた脆弱性数   (Open＞ Close) 

Slide 6

Slide 6 text

Slide 7

Slide 7 text

Copyright © 2023 by Future Corporation - 7 - 国内でも耳にする機会が増えてきた「SBOM」  SBOM（ソフトウェア部品表）により構成情報、脆弱性、ライセンス等を共通フォーマットで定義し流通できるようになる。  SBOM  ～Software Bill of Materials～   背景  ✔米国政府での調達時にSBOM活用が必須化  　(大統領令EO14028)   ✔多国間取引企業を含めSBOM整備のが義務化されたことで2021年頃から急速に普及     概要  ✔日本語にすると「ソフトウェア部品表」  ✔機器のソフトウェアを構成するアプリケーション・コンポーネント、脆弱性情報、ライセンス情報等をリスト化   ✔サプライチェーン上のリスク管理に活用できる    Supplier Application Version   …  SBOM A  Supplier Application Version   …  SBOM α  SBOM a,b  Supplier Application Version   …  SBOM B  SBOM c,d  SBOM A,B  SBOM a,b  Supplier Application Version   …  SBOM b  Supplier Application Version   …  SBOM a  Supplier Application Version   …  SBOM c  Supplier Application Version   …  SBOM d  SBOM c,d  早期に脆弱性を発見可能 

Slide 8

Slide 8 text

Copyright © 2023 by Future Corporation - 8 - 特にPSIRT領域ではSBOMの効果が大きい  製造業のサプライチェーンに見られる「多数の組織にまたがる複雑な階層的ソフトウェア構造」は、現状管理されていないことが多く、SBOMの活用が有効。   PSIRTの場合 CSIRTの場合対象システム自社プロダクト・制御製品情報システム従来の脆弱性管理の課題製造業サプライチェーンのソフトウェアは管理されていないことが多い商用製品やNW機器等の脆弱性情報が貧弱 SBOM導入の効果構成情報、脆弱性、ライセンスが可視化きるようになるので効果は大きいツールで既に管理している組織にとっては SBOMにより得られる効果は小さい脆弱性  ライセンス  構成情報  OS  ミドルウェア  ライブラリ  Webアプリ（別途診断必要）   NW機器  アプライアンス  SBOM  商用製品  ※OSやライブラリの検知精度は100%だが、商用製品ベンダやJVNから現在提供されるアドバイザリは影響バージョンがマシンリーダブルではない。SBOMの潮流で改善されればNW機器や商用ソフトウェアの検知精度が良くなる。 

Slide 9

Slide 9 text

Copyright © 2023 by Future Corporation - 9 - SBOM導入後の脆弱性のトリアージが課題  ただSBOM導入しただけでは不十分。重要なのは高リスク/攻撃に使われる脆弱性への継続的な対応である。現実的に対応可能な脆弱性の絞り込み手法の利用が必要。     CVSSでは対応可能な数に絞り込めない ※NVDのうちCVSS v3.0のスコアがついている138,873件の脆弱性を集計  約1.4万件 2.24%　約4,615件  ＜攻撃に利用される高リスクな脆弱性＞   CVSSスコアに関わらず攻撃に使われる脆弱性は少ない Exploit公開情報や、CISA-KEV、JPCERT/CCの注意喚起等で絞りこむにも知識と手間が必要課題  課題  課題  出典: Qualys Part 1: An In-Depth Look at the Latest Vulnerability Threat Landscape  

Slide 10

Slide 10 text

Slide 11

Slide 11 text

Copyright © 2023 by Future Corporation - 11 - SSVCは、決定木を用いて対応優先度を出力するフレームワーク  リスク =「脆弱性」x「脅威」x「資産重要度」を元に脆弱性の対応優先度を導出可能。   決定木を用いることで専門家でなくても対応優先度を判断できる。   SSVC ～Stakeholder-Specific Vulnerability Categorization～   背景  ✔2019年にカーネギーメロン大学が提案     概要  ✔「脆弱性管理で優先順位付け」をするためのフレームワーク   ✔いくつかの決定木が用意されている   - CERT向けの「coordinator tree」   - 運用者向けの「deployer tree」   - PSIRT向けの「supplier tree」   ＜Depoyerツリー（運用者向け）＞  

Slide 12

Slide 12 text

Slide 13

Slide 13 text

Copyright © 2023 by Future Corporation - 13 - FutureVulsの紹介 - 国産の脆弱性管理SaaS  日々の継続的な脆弱性管理を効率化。専門家でなくてもリスク判断可能。   新規に公開された脆弱性にすぐに気づけるので、高リスクな脆弱性に先手を打って対応。  様々な業界の企業様に導入頂いています Cisco, Fortinet等のNW機器 Linux, Windows, Mac Java等のOSSライブラリクラウド / オンプレ / 閉域環境商用ソフトウェア管理対象ライセンス管理チケット管理資産管理 SBOM入出力脆弱性管理基本機能

Slide 14

Slide 14 text

Copyright © 2023 by Future Corporation - 14 - FutureVulsのSSVC機能はトリアージと対応指示を自動化  検知した脆弱性を４つの優先度に振り分けて対応期限などを設定し対応指示まで自動化。   後日Exploitが公開されて「脅威」が変化した時点で、自動で再判断可能。   Immediate  構成情報  脆弱性  検知処理  タスク    - ステータス   - 対応期限   - 優先度  - 担当者  - コメント  Scheduled  脆弱性情報  SSVC決定木  脅威の変化で再判断   SSVC結果が変更されたらタスクを自動で再設定   対応期限などを自動設定して対応指示   SBOM 

Slide 15

Slide 15 text

Copyright © 2023 by Future Corporation - 15 - FutureVulsのSSVC機能の初期設定は２ステップで完了  初期設定は「インターネット露出度」と「資産重要性」の２つを設定する。   また、SSVCで導出された結果に応じてタスクを自動設定するルールを定義するだけで完了。   immediate に分類されたタスクの   - ステータス：未対応  - 優先度を　：High  - 対応期限　：７日後  に自動設定して自動で対応を指示   そのシステムの  - インターネット露出度   - 資産重要性  といった環境情報を設定   <環境情報の設定画面>   <タスク自動設定のルールを設定する画面>  

Slide 16

Slide 16 text

Copyright © 2023 by Future Corporation - 16 - Dev/Ops目線の日々の運用  運用者は immediate 検知の通知受けてログイン。決定木、プロセスやPort開放状態、  IPSルール有無、脆弱性情報、CERT注意喚起、Exploit情報等を画面から確認して対応する。   Login  決定木の判断理由    攻撃がアクティブかつ、  インターネット公開システムかつ、RCEかつ、重要システムなのでimmediate と判断された  「ソフトウェア名」  「プロセス有無」  「Port開放状況」  対象機器や対応期限等   「脆弱性情報」  「CERT注意喚起」  「Exploit情報」 

Slide 17

Slide 17 text

Copyright © 2023 by Future Corporation - 17 - CSIRT目線の日々の管理  CSIRTは全社横断で immediate と out-of-cycle の対応状況を追跡。  対応期限が超過したタスクには一括で対応を催促できるので楽。日々の工数を削減。   immediate に分類されたタスクのうち   「未対応」かつ「対応期限が超過している」   などでフィルタ  タスクの担当者に対応を催促。   一つの操作で全社の担当者に指示   一括選択  

Slide 18

Slide 18 text

Copyright © 2023 by Future Corporation - 18 - ５つの環境を想定してSSVCの分類を実験  「4,716件」の脆弱性をSSVCで分類した。   immediate と out-of-cycle を見ると、現実的に対応できる数に絞り込めている。  Immediate out-of-cycle immediate/out-of- cycleの割合 scheduled defer インターネット公開の「超」重要システム 16 2100 44.8% 2600 0 インターネット公開の重要システム 16 50 1.4% 4650 0 社内NWの基幹システム（販売管理など） 0 16 0.33% 4700 0 業務影響が小さい社内システム(勤怠管理など) 0 0 0% 4716 0 閉域網の「超」重要な基幹系システム 0 16 0.33% 4700 0 CVSS ≧ 7.0 は「2,863件」、CVSS ≧ 8.0 は「990件」。CVSSだけでは絞り込めない。  

Slide 19

Slide 19 text

Copyright © 2023 by Future Corporation - 19 - まとめ  特にPSIRTで扱うサプライチェーンの構成管理は現状困難なため効果を発揮する   継続的なトリアージと脆弱性対応が重要   SBOMは今後さらなる普及が見込まれる SBOM対応後のトリアージが課題。CVSSによる判断は運用はまわらない。   SSVCのような別のリスク判断方法が必要だが、人手では多大な人的コストがかかる FutureVulsのSSVC機能はトリアージから対応指示まで自動化可能。運用がまわる脆弱性管理製品で自動化しましょう  

Slide 20

Slide 20 text

No content

Slide 21

Slide 21 text

Copyright © 2023 by Future Corporation - 21 - 参考　ソフトウェア管理に向けたSBOMの導入に関する手引  今年7月に経済産業省手引書を公開しており、今後国内でも広く普及すると推察される。   SBOM導入プロセス   出典：経済産業省  ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引 Ver. 1.0  