「緊急」脆弱性の97%は緊急性が低い–Datadog調査

今回は「「緊急」脆弱性の97%は緊急性が低い–Datadog調査」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 Datadog Japanは6月28日、DevOps組織を標的とする脆弱性と脅威に関する「アプリケーションセキュリティ調査レポート」を発表した。これは、同社の顧客から得た実際のデータを分析したもので、「緊急とされた脆弱性のうち、実際にリスクが高く、優先的に取り組む必要があるものは3%に過ぎない」ことが分かったとしている。

 同社は脆弱性のリスク評価に当たって重要なのは「コンテキスト」だと指摘。脆弱性の潜在的な深刻度に加えてその脆弱性がどのような環境に存在しているのかなどの要因によって実際のリスクは変動することから、コンテキストを踏まえて評価することで深刻とされる脆弱性であっても、その多くは対応の優先度を下げることが可能だとする。限られた対応リソースを優先度に応じて効率良く活用していくことで、より効果的な対応が可能になるという。

 「攻撃の74%は標的を誤ったものである」というデータもある。脆弱性を悪用する攻撃者がシステムの詳細情報を事前に把握しているとは限らず、手当たり次第に攻撃していることも多いためだ。具体的には、「サービスに存在していないエンドポイントを狙う」「アプリケーションで使用されていない言語を標的にする」「SQLデータベースがないシステムにSQLインジェクション攻撃を試みる」などの観測がある。逆に言えば、26%の攻撃は正しく標的を捉えているため、膨大なノイズに埋もれた攻撃の中から、こうした真に危険な攻撃をいち早く検出して対処することが重要だと言える。

 シニアセールスエンジニアの松崎裕樹氏は、その背景として「近年は、(発見された)脆弱性を隠すのではなく、リスク対応のために公表していくカルチャー」が出来上がったと指摘。その影響もあって、公表される脆弱性情報が年々、増加傾向にあるとした。また、ユーザー企業も新しい技術からいち早くメリットを得ようと考えており、採用したテクノロジーやソフトウェアに脆弱性が見つかって対応に追われる状況もあるという。

 同社のオブザーバビリティ製品は、大規模な分散アプリケーションのパフォーマンス情報などを詳細に把握できる点を強みとする。同社が提供するセキュリティ機能のApplication Security Management(ASM)やApplication Performance Monitoring(APM)は、オブザーバビリティのために収集したアプリケーションやマイクロサービスごとの詳細なログデータを、セキュリティにも活用するというアプローチで実装されている。このため、システムに余分な負荷をかけることなく、詳細な情報を性能監視などと同様のインターフェースで実行できる点が特徴となる。

 アプリケーションレイヤーのセキュリティとしてはWeb Application Firewall(WAF)が広く使われているが、ネットワーク上でのパケット検査をベースとするWAFでは、パフォーマンスとのトレードオフの問題から探索できる情報に限界がある。同社のアプローチでは、分散アプリケーションを構成する多数のモジュールごとに使用されている開発言語や公開された脆弱性の有無といった基本情報から、その脆弱性に対して外部から攻撃が実行されたかどうかといった詳細情報も把握できるという。

 とはいえ、アプリケーションのパフォーマンス維持などのいわゆるSite Reliability Engineering(SRE)を目的として同社のソリューションを活用してきたエンジニアが、そのままASMやAPMといったセキュリティ機能を活用できるのかという疑問もある。

 この点について、松崎氏はDevSecOpsなどの考え方が普及してきている現在、サービスのオーナーシップを持っている開発/運用担当者がセキュリティや脆弱性管理に関しても責任を負うという形が増えてきており、セキュリティのために別途新しいツールを導入してその使い方を習得するのに比べると、オブザーバビリティプラットフォームにセキュリティ機能が統合された方がむしろ使いやすいと指摘した。

 同社は「既に“オブザーブ”(観測)している環境をセキュアにせよ」というスローガンでオブザーバビリティとセキュリティの統合に取り組んでいるという。

 既知の脆弱性を突かれた結果、深刻なセキュリティインシデントにつながるという事例が繰り返されており、脆弱性管理はセキュリティ対策として必須の取り組みといえる。その一方で、さまざまなソフトウェアコンポーネントに次々と脆弱性が見つかっている状況において、限られたリソースで万全に対応するのはそう簡単ではない。

 そうした中、システムの稼働状況やさまざまなコンテキストを踏まえてリスクを正しく把握することができれば、適切に優先順位を付けて効率良く対応することが可能になるだろう。オブザーバビリティの活用例としても興味深い取り組みだと言えそうだ。

元記事: https://japan.zdnet.com/article/35205903/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
「Linux」メンテナーの燃え尽き症候群問題–業務内容の変化と支援の必要性
IT関連
2023-11-07 19:10
グーグル・クラウドが支援するスタートアップ–資金や技術、事業面を評価
IT関連
2022-07-15 03:06
2023年の脅威予測と求められるセキュリティ対策
IT関連
2023-01-06 19:56
住友ゴム工業、「Dataiku」導入で製造工程の効率化とデータドリブンな文化を推進
IT関連
2024-07-19 19:08
Googleの「コロナ感染者予測」は信頼に足るのか 専門家がメカニズムを解説 (1/2 ページ)
くわしく
2021-05-06 03:46
「WattOS」レビュー–古いPCでも快適に使える軽量な「Linux」ディストロ
IT関連
2025-02-28 00:37
ランサムウェア攻撃に屈する企業が多い実態、調査で浮き彫りに
IT関連
2023-03-08 21:21
京急電鉄、乗務員800人に配布していた1000ページ超の規程集を電子化
IT関連
2023-12-21 14:11
免疫療法の改善からの新療法開拓のためバイオテックImmunaiが63億円を調達
バイオテック
2021-02-13 05:54
Snowflakeの製品管理担当幹部が考える「生成AI×DWH」の新たな可能性
IT関連
2023-06-21 01:11
中小企業のDX 阻んでいるのは「認識の壁」
IT関連
2021-02-03 23:59
日本IBMが示す、AIの本格活用に向けた課題と3つのアプローチ–AIの活用領域は拡大
IT関連
2022-07-15 22:02
Apple ID残高に定期的にチャージする「オートチャージ」が利用可能に
IT関連
2021-05-11 02:40
バンダイ、AWSで「たまごっち」をIoT化–メタバース機能を提供
IT関連
2023-06-08 02:03