Sysdigは11月24日(米国時間)、「The Power of Library-Based Vulnerability Detection. - Sysdig」において、増え続ける脆弱性に対処する際の課題と対策について伝えた。企業や組織が脆弱性に対応するプロセスを次の4つの工程に分類し、3番目にあたる「脆弱性の比較」の課題と対策について解説している。

資産の一覧の作成:組織が管理している資産の一覧を作成する

ソフトウェア一覧の作成:管理している資産にて使用しているソフトウェアとライブラリの一覧を作成する

脆弱性の比較:新しく公開されたセキュリティ脆弱性と、組織で使用しているソフトウェア、ライブラリの一覧を比較して影響を受けるか確認する

リスク評価と優先順位付け:セキュリティ脆弱性の影響を受ける場合、そのリスクを評価して対処の優先順位を決定する

The Power of Library-Based Vulnerability Detection. - Sysdig

Sysdigによると、一般に公開される脆弱性の情報は不正確であることが多く、脆弱性の比較において正しく影響の有無を判断できないことがあるという。米国国立標準技術研究所(NIST: National Institute of Standards and Technology)が管理している脆弱性情報データベース(NVD: National Vulnerability Database)では、Log4jなどソフトウェア全体に問題があるとして情報提供されているものがあるが、実際には一部のパッケージ(org.apache.logging.log4j.LogManagerなど)だけに影響する脆弱性も存在する。このような不正確な脆弱性の情報により、影響を受けないシステムにおいても誤って評価が行われる可能性がある。

Sysdigはこのような問題に対処するため、GitLab Open Sourceや、GitHub Security Advisory Databasesなど10を超える検出ソースからセキュリティフィードを取り入れている。これらのアドバイザリデータベースには、脆弱性の存在するライブラリに関する詳細な情報が含まれており、従来の脆弱性情報をこれらデータベースによって補完することで、より信頼性の高い比較ができるとしている。具体的な例として、以下4点挙げている。

Log4shell - 影響を受けるライブラリが101から3に減少

SpringShell - 影響を受けるライブラリが21から7に減少

CVE-2017-16026 - 影響を受けるライブラリが13から1に減少

CVE-2015-9251 - 影響を受けるライブラリが11から2に減少

サイバー攻撃からシステムを保護するには攻撃を受ける前に対策を終える必要があり、そのためには正確な脆弱性の比較が必要となる。Sysdigは上記のような対策により検出精度を向上し、脆弱性の比較を含めた脆弱性管理プロセス全体の信頼性を向上できると説明している。脆弱性の比較において同様の課題に接したことのあるセキュリティ担当者は、必要に応じて上記のような対策を検討することが望まれている。