脆弱性対応の危急性
組織内には、セキュリティの脆弱性の発生元となるITシステムやアプリケーションが多数あり、それらはサイバー攻撃の対象となります。しかし、それら脆弱性を適時に把握し、適切に是正することは容易ではありません。たとえば製造業においては、セキュリティを守るべき3つの対象(ITシステム・OTシステム・製品)があり、いずれも日々セキュリティの脆弱性が発生しています。
ITシステムにおける脆弱性対応は、これまでもソフトウェアへのセキュリティパッチ適用の重要性が認識され、利用しているOSやミドルウエアの種類やバージョンといった構成情報を管理し、それらの脆弱性が発表されると速やかに対応しています。しかし、クラウドや仮想化技術の利用が一般的になるにつれ、オープンソースソフトウェア(以下、OSS)の利用も活発化し、脆弱性対応もより複雑になってきています。
OTシステムは、ITシステムのようにネットワークに接続されることが多くなり、たとえば工場に設置されたOTシステムにおける脆弱性が、全社のITシステムに影響を及ぼすような事案が起きています。OTシステムは資産として棚卸はされていても、セキュリティの脆弱性検知に役立つような、システム内のソフトウェアの構成情報を管理されているケースは少ない状況です。
製品に組み込むソフトウェアの脆弱性は、自組織が開発したソフトウェアと、他者が開発したOSSのようなソフトウェアの両方で発生します。自組織が開発したものは自身で修正が可能であるのに対し、他者が開発したものは、ライセンス形態等にもよりますが修正が期待できないものもあります。
OSSの脆弱性によって引き起こされたインシデントが増加してきたため、米国では大統領令14028で、EUではサイバーレジリエンス法で、ソフトウェアのサプライチェーンにおける保護の法整備が進み、デジタル要素を含む機器の開発者は、使用しているOSSといったソフトウェアの一覧をSBOM(Software Bill of Material)で提供することが求められてきています。
このような状況を受け、企業は、以下に挙げるような基本的な脆弱性対応を、確実に実施することが重要になっています。
|
KPMGの支援
本サービスでは、IT/OTシステムやアプリケーションにおけるセキュリティ脆弱性の発生場所・検出方法を整理し、脆弱性対応のルール・組織・プロセスを脆弱性対応基盤として実装することで、脆弱性対応の高度化を支援します。
【ServiceNowのプラットフォームイメージ】
脆弱性対応基盤は、外部の異なる脆弱性の発生場所・検出方法の違いを吸収し、対応プロセスを可能な限り自動化します。ServiceNowのプラットフォームにおいては以下のようなイメージです。