プリンシパルセキュリティアーキテクトArlen Baker、サービスデリバリーディレクターSeth Crame
組込み Linux デバイスのセキュリティを確保するための構造化されたアプローチを紹介する 3 部構成のブログの第 2 弾です。
前回のブログ記事では、自社の脅威の状況を完全に把握するための重要な確認事項について説明しました。では、次のステップに進みましょう。遭遇したすべての CVE (重通脆弱性識別) に対して何をしますか?
数字を見てみると、問題が浮き彫りになります。2022年には、25,000以上のCVEが確認されました。もちろん、これらすべてのプラットフォームに当てはまるわけではありませんが、最新のプラットフォームは、通常、ソリューションに含まれる 100 以上のパッケージに基づいて、1,000 以上の CVE に対して脆弱になる可能性があります。
つまり、すべての脆弱性をすぐに修正できるわけではありません。調査によると、企業が1カ月に修正できるのはCVEの5~20%程度とされています。その比較的少ない数の修正にかかる時間とコストはさておき、企業にとっての全体的なリスクについて考えてみてください。たった 1 回のセキュリティ侵害を見逃すだけで、データが侵害され、業務が中断され、評判が損なわれてしまいます。
システムがさらされるCVEを処理するためには戦略が必要です。ここでは、CVEの修復作業の優先順位を決める際に理解すべき7つの重要な構成要素を紹介します。
1. 影響度:CVEがシステムに与える潜在的な影響を理解するには、影響を受けるであろうシステムのコンポーネントの理解から始める必要があります。例えば、Open SSL、X.11、カーネルライブラリ、広く使われているパッケージなど、重要なコンポーネントであれば、その影響は大きくなる可能性があります。次に考慮すべきは、悪用方法、つまりCVEのさまざまな攻撃ベクトルです。脆弱性が、低い優先順位でユーザの操作なしにリモートで悪用できる場合、システムへの物理的なアクセスを必要とする脆弱性よりも大きな影響を与える可能性があります。また、その脆弱性が悪用される可能性のあるユースケースやシナリオも考慮する必要があります。例えば、脆弱性が攻撃によって任意のコードを実行することを可能にする場合、その影響は深刻なものになる可能性があります。
2. 悪用可能性: 公開されているエクスプロイトがあるCVEは、容易に悪用できないものよりも優先されるべきです。これを測定するのに役立つツールがあります。例えば、CISAのウェブサイトでは、「Known Exploited Vulnerabilities Catalog」を提供しています。また、FIRST.orgの一部としてEPSS特別利益グループが提供しているExploit Prediction Scoring SystemまたはEPSSスコアという選択肢もあります。繰り返しますが、目標はリスクの高い脆弱性に焦点を当て、迅速に緩和できるようにすることです。
3. システムのクリティカリティ: システムのクリティカリティを評価することは、重要なビルディングブロックです。なぜなら、機密データの漏洩や金銭的損失をもたらす可能性のある脆弱性は、優先的に修復されるべきものだからです。
4. 修復の容易さ:ベンダーのパッチや回避策で迅速に対処できる脆弱性は、優先順位を高くする必要があります。しかし、どの脆弱性を迅速に修正できるかを知るにはどうすればよいのでしょうか。ウインドリバーは、プロフェッショナルな CVEスキャン を開発しました。これはYocto Projectのビルドレイヤーで、一般に公開されており、Wind River Linuxを含むYocto Projectソリューションのほとんどをサポートしています。このスキャンは、レガシーLinuxプラットフォーム上のCVEを迅速に特定し、どのソリューションがすぐに利用可能かを判断して、修復を優先させることが可能です。スキャン自体は、お客様のスタッフ、またはウインドリバーのエキスパートが、Wind River Studio Linux Servicesのポートフォリオの一部として実施することが可能です。是非、スキャンサービスをお試しください。
5. コンプライアンス規制:政府機関は、セキュリティに関する要求事項を着実に増やしており、その多くは、ソフトウェア部品表(SBOM)、つまり、ソフトウェア部品を構成する材料のリストと、セキュリティ脆弱性の分析と修復のための要件の概要を義務付けるようになっています。SBOMがあれば、ソフトウェアコンポーネントを最新の状態に保ち、新たな脆弱性に迅速に対応することが容易になるため、ソフトウェア プロバイダーにとっては朗報です。これにより、技術的負債の削減と管理が容易になります。
6. 脆弱性の年齢:優先順位付けの基準を満たす、長い間存在するパッチ未適用の脆弱性には、大きな注意を払う必要があります。別の言い方をすれば、技術的負債を一掃することは、高い優先順位であるべきです。
7. 脆弱性スコア:NISTのNational Vulnerability Database(NVD)は、脆弱性の深刻度を0~10のスケールで定性的に評価するCommon Vulnerability Scoring System(CVSS)を提供しています。このスコアは、脆弱性の深刻度、悪用の容易さ、システムに対する潜在的な影響を考慮したものです。脆弱性是正活動の優先順位付けの要因として利用することができます。しかし、CVSSは1つの要素に過ぎないことに留意することが重要です。この記事で概説した他の構成要素も考慮する必要があります。
次回は、重要なLinuxデバイスのセキュリティを確保するために、フルライフサイクルアプローチを導入することの重要性について説明します。また、Studio Linux Servicesの製品ポートフォリオを覧いただき、SBOMを無料のプロフェッショナルグレードCVEスキャンにかけることをお勧めします。私たちは、お客様がサイバーセキュリティの問題を評価し、優先順位と技術的負債を軽減するお手伝いをします。これにより、お客様はイノベーションに専念することができます。