誰もが信頼している製品・サービスに潜む脆弱性
福本:SBOMの考え方は提唱され始めたばかりで、しっかり実装されている状況にはまだありません。SBOMを流通させて有効活用するにはさまざまな問題があり、SBOMを入れれば万事解決ということは決してないのです。 また契約によっては、どの部品を使っているかを明らかにできないケースもあり、すべての部品情報をSBOMに取り込むのは現実的ではないでしょう。不完全なSBOMが流通すれば、本質的なものが隠れる可能性があることも憶えておかなくてはなりません。
■たとえ侵入されても被害が拡大しない準備も必要に ――実際に自社の製品やサービスに脆弱性があるかをどう管理すればよいでしょうか。 福本:脆弱性があるかどうかのモニタリングを手助けするツールやサービスがあります。有償のものからオープンソースのものまであり、利用している企業も少なくありません。また、国内で脆弱性情報を公開するデータベースとしてIPAが運用するJVN iPediaなどがあり、海外にも無料で使える同様のデータベースがあるので、そういったものを活用するのもよいでしょう。
ほかにも、外部の人に脆弱性を発見・報告してもらい報酬を支払う「バグバウンティ」があります。脆弱性を見つけるのに役立ちますが、一方で指摘された際にきちんと対処できる社内体制がなければ有効に機能しません。 ――改めて製品やサービスを提供する側が、今後考慮すべきことはどのようなものでしょうか。 佐々木:以前は脆弱性情報が出て急いでパッチを当てれば間に合いましたが、最近はそれが崩れつつあります。未公開の脆弱性情報は、それを知る1つのグループだけが悪用すると思われてきましたが、現在では複数グループで脆弱性情報を共有するケースが確認されています。
これまではセキュリティ専門組織などから注意喚起が出て、1週間以内にパッチを当てれば防げると思われてきました。しかし今は早ければ当日に攻撃がきて、翌日には別グループからも攻撃されます。侵入対策を諦めるわけではありませんが、インターネットにつながるシステムなどは侵入を前提に準備しておくべきでしょう。二要素認証の追加や、侵入されても奥まで入れないようにするなどの対策が必要です。 以上のようにユーザー側は厳しい状況にいますので、製品・サービス提供側はこれまで以上に脆弱性情報や、当該脆弱性が悪用されているかどうかという情報について速やかにユーザーに提供しなければなりません。