セキュリティニュースをサクッと解説 2024/01/15 - 01/21
一週間を始めるにあたって、抑えておきたい先週気になったセキュリティニュースのまとめです。セキュリティニュースは毎日多数の情報が溢れかえっており「重要なニュース」を探すことが大変です。海外の報道を中心にCISO視点で重要なインシデント、法案や規制に関して「これを知っておけば、最低限、恥はかかない」をコンセプトに、コンパクトにまとめることを心がけています。
■1.Ivanti(旧Pulse Secure)の脆弱性が緊急指令に格上げ
現在、大きな問題として世界中で話題になっているのが、Ivanti(旧Pulse Secure)に関する脆弱性です。CISAは本件に関して2024年1月19日に今年初めてとなる緊急指令を発行しました。
CISAは政府機関にて該当する製品を利用している場合には、代理店に対し、2024年1月22日、月曜日の午後11時59分までに、Ivanti のダウンロード ポータル経由で「mitigation.release.20240107.1.xml」をダウンロードし、影響を受ける製品にインポートすることを要求しています。
■2.世界経済フォーラムにおいて、環境問題と並ぶサイバーセキュリティリスク
毎年一度世界のリーダを集めて開催される、世界経済フォーラムが今年も開催されました。
世界のリーダーが考える二年後の脅威として、一位にAIによるフェイク情報が挙げられました。これは、今後2年間で、バングラデシュ、インド、インドネシア、メキシコ、パキスタン、英国、米国など、いくつかの経済圏で30億人近くが選挙投票に向かうと予想されるためです。また、四位にサイバーセキュリティが挙げられています。
注目すべきは十年後のリスクです。1位から4位までを環境問題が占めるなか、5位、6位、8位がサイバーセキュリティに関するものです。十年後の未来を予測することは困難です。そういった中でも、「環境問題は当然継続する」ことに異論を持つ人は少ないでしょう。それと同じレベルでサイバーセキュリティのリスクが挙げられており、もはやサイバーセキュリティは「ITを駆使した特殊な犯罪」ではなく、「社会問題として考えるべきリスク」であると「世界のリーダー達」が考えているということです。
■3.2024年に求められるCISOの役割の増大
サイバーセキュリティリスクへの対応について世界中のリーダーが重要性を認識しています。こういった経営層に対してサイバーセキュリティリスクの重要性を説明し、組織としての対策を練っていくのがCISOですが、CISOの役割も増大していくべきだとという興味深い記事を見つけたので共有します。
執筆者である、BTグループの東南アジアセキュリティ責任者であるサニー・タン氏はCISOに求められる重要な役割として以下を挙げています。
- 経営層と会話するための「共通言語」を話す
- サイバーセキュリティ リスクの定量化
もし、CISOがセキュリティ担当者だけに分かる言葉で、定性的な側面からセキュリティリスクを訴え、セキュリティ投資の増額や人員増加を訴えても、「数字で語る」経営陣を動かすことき出来ません。
難解なセキュリティインシデントを経営層にわかる内容に翻訳し、定量的に可視化する。こういった能力と役割がこれからのCISOに求められるとして、示唆に富む見解が記されていました。
また、セキュリティの定量化については、NISTが企業のサイバーセキュリティ プログラムの測定と改善に関するガイダンスの草案を公開しました。組織のサイバーセキュリティリスクを如何に定量化するか?どういった点を計測すべきか?については、どこの企業にも共通する課題です。目を通しておくことを推奨します。
■定点観測
・CISA 悪用された既知の脆弱性カタログ登録状況
該当期間中に以下の脆弱性がCISAのKEVに追加されました。該当する製品を利用されている場合は優先度を上げて対応することを推奨します。
- Laravel の信頼できないデータのデシリアライゼーションの脆弱性
- Google Chromium V8 の境界外メモリ アクセスの脆弱性
- Citrix NetScaler ADC および NetScaler Gateway のバッファ オーバーフローの脆弱性
- Citrix NetScaler ADC および NetScaler Gateway のコード インジェクションの脆弱性
- Ivanti Endpoint Manager Mobile (EPMM) および MobileIron Core の認証バイパスの脆弱性