Old modems, routers, network equipment. Serial, phone, audio, ethernet connectors.
セキュリティ運用

デジタルデトリタス:Pacific Rim の原動力と業界への行動喚起

何十年前のパッチが適用されていないハードウェアとソフトウェアが、私たちを危険にさらしています。

** 本記事は、Digital Detritus: The engine of Pacific Rim and a call to the industry for action の翻訳です。最新の情報は英語記事をご覧ください。**

ソフォスのファイアウォールソフトウェアに対する Pacific Rim 攻撃の中心には、さながら太平洋ゴミベルトのように巨大な、しかし目には見えないデジタルゴミ (デトリタス) の塊があります。今回の事例では、古い、あるいはパッチ未適用のハードウェアやソフトウェアがそれにあたります。地球上のゴミベルトや上空の宇宙ゴミと同様に、この増加し続けるデジタルデトリタスは悲惨な結果をもたらします。本記事では、この状況を検証し、業界全体でこの問題に取り組む方法について筆者の見解を述べます。

  1. はじめに
  2. 実証された真実とデジタルデトリタス
  3. 将来への投資
  4. 今日から始めるステップアップ: 行動喚起
  5. 結論

はじめに

2024 年までの一連の公開基調講演の中で、米国サイバーセキュリティ・社会基盤安全保障庁 (CISA) 局長の Jen Easterly 氏は、業界に対して「サイバーセキュリティの問題ではなく、ソフトウェアの品質の問題だ」と宣言しています。同氏はさらに、今日の数十億ドル規模のサイバーセキュリティ産業が存在するのは、あらゆる産業、業界、市場セグメントのテクノロジー企業が、悪用可能な欠陥のあるソフトウェアの出荷と配信を許してきたからだと強調しました。CISA は、テクノロジーベンダーを対象とした Secure by Design イニシアティブと、テクノロジーバイヤーを対象とした Secure by Demand イニシアティブを通じ、市場の意識を「ソフトウェアの欠陥は避けられないもの」から「ある種の欠陥は許されないもの」へと転換させるべく取り組んでいます。

その根拠は、経済的にも真っ当なものです。テクノロジーベンダーに安全なソフトウェアの構築と維持に投資するインセンティブを与える最良の方法は、顧客が 自社の調達資金で投票するのを奨励することです。この取り組みは、Easterly 氏が言うところの「明確な注意基準を持つ体制、および安全な開発プロセスを優先することで責任ある技術革新を行うテクノロジーベンダーに対するセーフハーバー条項を持つ体制の両方の特徴を備えたソフトウェア責任体制」に業界を移行させるための重要な一歩です。

本記事の冒頭で CISA の活動を簡単に要約したのは、こうした取り組みがサイバーセキュリティの現状を改善する上で決定的に欠けている要素だと考えるからです。この問題の改善は、私たちの経済、国家安全保障、そして世界中の国家国民の福祉にとって非常に重要な問題であると言っても過言ではありません。本記事は、「Pacific Rim: 反撃の内幕—中国からの脅威を無力化した手法」と題したソフォスの記事に関連するもので、ソフォス、ソフォスのお客様、およびソフォスとは無関係の第三者を標的に、ソフォスのファイアウォールソフトウェアの欠陥を悪用しようとあらゆる努力を重ねていた中国の国家的攻撃者との数年にわたる戦いを記録したものです。タイムラインと技術的な詳細情報についての関連記事には、この取り組みから生じた一連の決定、投資、改善、イノベーションが記録されています。

Pacific Rim の報告書に記載された脆弱性はすべて過去に開示され、改善されたものであり、新たな脆弱性の開示や未解決の脆弱性の開示はありません。しかし、ソフォスは、ソフォス自身の過去の欠陥に注意を喚起すること、さらに、このレベルの情報公開に対して市場が否定的な反応を示す可能性があることを認識した上で、報告書の全文を共有します。ソフォス社内でも議論になった点ではありますが、Pacific Rim の報告書に対する反応が将来的に建設的で成熟したものになり、記録された出来事がもたらした学習と改善に焦点が当てられることで、このような永続的逆境に立ち向かい、最終的に打ち勝つことで生まれる「標準的なケア」の一例を提供することになるだろうと、筆者は楽観視しています。

実証された真実とデジタルデトリタス

MITRE の 2007 年の報告書「Unforgivable Vulnerabilities (許されざる脆弱性)」は、「製品によっては、あまりにも簡単に脆弱性が見つかる」というフレーズから始まり、あまりにもありきたりであるため、発生すること自体が「許されない」とみなされる脆弱性について述べられています。カジュアルなソフトウェア開発者によるものであれば、この種の不具合の発生はある程度普通のことかもしれません。しかし、OS ベンダー、インフラストラクチャベンダー、サイバーセキュリティベンダーなど、誰もが防御のよりどころとしているベンダーには、より良いソフトウェアを期待したいところです。

やや逆説的ですが、OS ベンダーは公開された脆弱性のリーダーボードで上位を占めており、サイバーセキュリティベンダーも無関係ではありません。Security Scorecard が行った 227,000 件を超える CVE の分析では、その 12.3%* がサイバーセキュリティベンダーによるものであり、インフラストラクチャ関連の CVE は数百件にも上ります。まず以下の 5 つの点を考慮することで、このパラドックスを解消していきましょう。

1.市場での成功は悪用の可能性を高める

a. 攻撃者がアクセス可能なすべてのソフトウェアは、いずれ攻撃の対象となります。狙われる可能性や悪用の可能性は、ソフトウェアの普及とともに高まっていきます。

b. ベンダーのフットプリントが大きいほど、セキュアなソフトウェアを維持する義務 (およびコスト) は大きくなります。製品の予算とライフサイクルはしばしば、この点を考慮していません。

2.競争はモラルハザードを悪化させる

a. ソフトウェアの品質低下は、サイバーセキュリティ製品やサービスの巨大な市場を生み出します。Consortium for Information and Software Quality (情報・ソフトウェア品質コンソーシアム) が 2022 年に発表した報告書によると、品質の低いソフトウェアのコストは米国国内だけで少なくとも 2 兆 4,100 億ドルに上ると推定されています。

b. ほとんどのソフトウェアベンダーが市場競争に直面している一方で、サイバーセキュリティに対する需要は数十億ドル規模のベンチャー投資を引き寄せています。2023 年には 85 億ドル、2024 年上半期には 71 億ドルと推計されます。この数値は 2023 年上半期と比較して 51% の増加であり、市場競争の激化と継続的なイノベーションおよび差別化の急務を促しています。

c. このような市場競争に加え、サイバーセキュリティ業界は攻撃者からの挑戦に日々直面しており、お客様を保護するにはさらに迅速な対応と俊敏性が求められています。

d. これらの要素が組み合わさると、安全でセキュアな設計や配備よりも、機能やアップデートが優先されることになり、時には世界規模での攻撃や混乱が引き起こされることもあります。

3.パッチ適用は難しい

a. パッチを当てることがいかに運用上負担が大きいかは広く理解されています。

b. パッチの適用は共有責任です。ベンダーはパッチを作成しなければなりませんし、お客様 (またはサービスプロバイダーなど他の責任者) はパッチを適用しなければなりません。どちらかが遅れると悪用される可能性が高まり、適用されていないパッチには価値はありません。

c. サービスとしての* (*aaS) モデルでは、ベンダーがホスティング環境における不具合を一括修正することで、パッチ適用という課題の解決は容易なりますが、業界は常にオンプレミスのコンポーネントに対処する必要があると考えられます。

i. オンプレミスと聞くと、インフラストラクチャ (ファイアウォール、IPsec や SSL VPN/プロキシ/ZTNA などのリモートアクセスレイヤー、メールサーバーなど) を思い浮かべがちですが、オンプレミスの最大派閥 (つまり、ベンダーが所有・管理するのではなく、お客様やサービスプロバイダーが所有・管理するもの) は、エンドポイントとその OS、およびローカルで稼働するアプリケーションです。

ii. セキュリティインフラストラクチャの特定の領域では、FWaaS などの *aaS モデルが成長しているにもかかわらず、自律性、レイテンシ、耐障害性 (集中的な障害の回避) などの理由から、オンプレミスのネットワークセキュリティモデルが依然として支配的な地位を占めています。Gartner によると、2024 年のファイアウォール収益の 87.5% を物理ファイアウォールが占めています。

iii. たとえばオペレーショナルテクノロジー (OT) やモノのインターネット (IoT) など、特定のインフラストラクチャや運用形態には、*aaS モデルへの移行の見通しが立たないものもあります。

4.買い手と売り手の世代間インセンティブのズレ

a. 買い手は、一世代のテクノロジーを可能な限り長期間使用することで、テクノロジーへの投資を最大限に活用しようという動機付けがされています。言い換えると、許容できない機能的制約がない限り、買い手はインフラストラクチャ (ファイアウォール、ルーター、プロキシなど) をアップグレードせずにできるだけ長く稼働させようとします。

i. この現象は「インフラストラクチャの慣性」と呼ばれるもので、これを打ち消す何らかの力がなければ、時代遅れのインフラストラクチャでは (特に「サイバー貧困層」においては)、無視できないほど深刻になるまで問題が蓄積する傾向にあります。

ii.携帯電話や自動車などの消費者向けテクノロジーとは異なり、最新のインフラストラクチャの使用を理由に地位や名声が向上することはないため、消費者向けテクノロジーの世代交代が加速した場合に起こり得るアップグレードへのモチベーションは失われます。

b. 売り手は、以下のような理由から、世代交代を加速させる動機があります。1) 機能強化とユーザーエクスペリエンスの向上、2) 陳腐化と顧客離れの防止、3) 販売台数の増加。

i. 「計画的陳腐化」に取り組むベンダーは、そうでないベンダーに対して競争上不利な立場に置かれます。また、たとえ買い手に対して最善の利益 (セキュリティ、信頼性、機能性の向上など) をもたらすものであったとしても、活動やスケジュールが明確に伝えられない場合、顧客から不満が出る可能性があります。

c. デジタルインフラストラクチャが長期化すればするほど、ベンダーがソフトウェアのアップデートを提供しない可能性が高くなります。

i. どのベンダーも自社製品のサポートに一定の期限を設けており、その期限を過ぎると、サポート、新しいファームウェア、コードのアップデート、セキュリティパッチの提供を停止します。

ii.コストが蓄積すれば最終的に破綻を迎えるため、テクノロジーベンダーが、ハードウェア、ファームウェア、OS、ソフトウェアの全世代を「恒久的に」サポートすることを期待するのは、経済的に不可能です。製品のライフサイクルを管理する別のモデルが必要です。

5.すべての脆弱性は、時間の経過とともに許されないものになる

a. ありふれた脆弱性が (先行性、自明性、単純性などの理由で) 常に許されないものであるとしても、それとは対照的にゼロデイ脆弱性は発見当初は多少許されるものです。しかし、恐ろしいゼロデイ脆弱性にも「半減期」が存在します。たとえば、WannaCry の脆弱性 (CVE-2017-0144 および CVE-2017-0145) は 2017 年には驚くほど手強いものでしたが、2024 年に残存している WannaCry の脆弱性はありふれたものであり、それゆえ許されません。

i. 話の脱線は避けたいところですが、暗号化方式に関しても同様の問題が存在することを指摘しておきます。現在の強力な暗号は、将来の計算能力の進歩とともに弱体化していきます。業界は、耐量子安全性に関するさまざまな取り組みを通じて、このような問題に対処しており、学ぶべき教訓があります。「強い」、「安全」、「許されない」といった言葉は相対的なものであり、時間的な要素を含んでいることを忘れてはなりません。

筆者は、上記の 5 点を総合してデジタルデトリタス問題と呼んでいます。「インフラストラクチャの慣性」は、時間の経過とともに危険性を増すインフラストラクチャの放置につながり、攻撃者が悪用できる攻撃対象として徐々に大きく、不健全で、予測不可能、管理不可能になっていきます。この問題は、スペースデブリ (宇宙ゴミ) と概念的に非常に似ています。スペースデブリ問題とは、過去のミッションで不要になった物体が軌道上に蓄積し、宇宙でのミッションがますます複雑で危険になることを指します。どちらの問題も、経済学者が「負の外部性」と呼ぶものの一例です。つまり、市場価格に適切に反映されることなく、他の当事者に将来のコストを課す活動のことです。

その一例としてよく知られているのが、上述した太平洋ゴミベルトなどの公害です。デジタルデトリタスの事例では、買い手のコスト (攻撃や混乱のリスクの増大から組織の消滅に至るまで多様。サイバー攻撃を受けた中小企業の 60% が 6 か月以内に廃業している) およびベンダーのコスト (研究開発やサポートのコストの増大、風評リスク、法的リスク、市場評価の影響など) の双方が増加します。また、プロキシ攻撃や難読化攻撃、ボットネット、サプライチェーンの侵害、その他の間接的なサイバー被害において、無防備なインフラストラクチャが使用された場合、知らず知らずのうちに第三者にもそのコストがのしかかる可能性があります。

* SecurityScorecard Threat Research, Intelligence, Knowledge, and Engagement Team (STRIKE) の分析によると、分析時点での 227,166 件の CVE のうち、27,926 件がセキュリティベンダーから報告されたものでした。

将来への投資

幸運なことに、セイバーセキュリティの分野では過去 10 年の間に「自分には起こらない」から「誰にでも起こり得る」へと組織の考え方が変化してきています。このような健全な姿勢は、特にサイバー貧困層にはまだ浸透していませんが、望ましい方向には向かっています。

米国ではバイデン政権の 2023年国家サイバーセキュリティ戦略と CISA の Secure by Design イニシアティブおよび Secure by Demand イニシアティブを組み合わせることで、ベンダーの考え方を「ソフトウェアの欠陥はどうしたって起こるもの」から「最も能力のない人 (ターゲットリッチ/リソースプア) から最も能力のある人に負担を移そう」にシフトする初期段階にあります。能力とは、経済的な余裕だけでなく、その場面で最も有利な立場の者や、専門知識を有する者も指します。ソフトウェアベンダーの分野では、サイバーセキュリティベンダーと OS ベンダーが最も大きな義務を負っており、模範を示す必要があると筆者は考えています。この考えを実現するための重要な方法の 1 つが、Secure by Design の誓約です。ソフォスは、2024年 5月に RSA Conference で開催された初回イベントで署名し、現在までに 234 社が Secure by Design の 3 つの基本原則を守ることに全力を尽くすことを誓約しています。

1.お客様のセキュリティ成果の所有権を確立する – 「すべてが上手くいかなければならない」という重荷をお客様からベンダーに移します。この考えには、Secure by Default の実践 (デフォルトパスワードの排除、実地テスト、ハードニングの簡素化、安全でないレガシー機能の非推奨、注意を喚起するアラート、セキュアな構成テンプレート)、セキュア開発の実践 (セキュアソフトウェア開発ライフサイクル) (SSDLC) フレームワークへの適合、サイバーセキュリティのパフォーマンス目標の文書化、脆弱性管理、責任あるオープンソースソフトウェアの使用、開発者のためのセキュアなデフォルト、R&D セキュリティ文化の形成、実際のセキュリティ運用チームとのテスト、ゼロトラストアーキテクチャの連携)、さらにはセキュリティを推進するビジネスプラクティス (追加料金なしのロギング、セキュリティ機能を贅沢品ではなくお客様の権利として扱う、オープンスタンダードの採用、アップグレードツールの提供) などが含まれます。商業的な意味では、使用するために多くの専門知識を必要とする製品 (XDR、SIEM など) を、最適な運用とテクノロジーを組み合わせたサービス (MDR: Managed Risk サービスなど) にパッケージ化することも意味します。

2.急速な透明化と説明責任を受け入れる– 脆弱性の詳細を公表することが「攻撃者のためのロードマップ」 や悪徳競合他社を利する行為になるという時代遅れの価値観を否定し、 その代わりに豊富なメリットに着目します。Secure by Default の実践 (セキュリティ統計と傾向の集計、パッチの統計、未使用権限に関するデータ)、セキュアな製品開発のプラクティス (セキュリティ管理、脅威モデル、セキュアな開発ライフサイクル自己証明脆弱性開示の詳細、ソフトウェア部品表、および脆弱性開示ポリシー)、セキュリティを推進するビジネスプラクティス (Secure by Design のエグゼクティブスポンサーシップ、Secure by Design ロードマップ、メモリ安全性ロードマップ、結果の公表) を詳細なレベルで公表し、サイバーセキュリティを自動車業界のような安全性の高い領域へ進歩させるための一歩を踏み出してください (CISA の Bob Lord 氏と Jack Cable 氏が、こちらの動画 (リンク先: 英語) でこの問題について取り上げています)。

3.上層部主導での実践 – Secure by Design を財務報告書に含める、取締役会に定期的に報告する、Secure by Design 担当役員に権限を与える、有意義な社内報奨制度を設ける、Secure by Design 協議会を設置する、顧客協議会を設置し発展させる、などの行動を取ることで、組織の文化、構造、インセンティブがセキュリティをビジネス上の優先事項としていることを示せます。

サイバー犯罪者を除く誰もが、CISA の取り組みが成功し、私たち全員にとってより安全な未来が到来することを応援しています。しかし、現在存在し、しばらくの間存在し続けるであろうリスクに対して、私たちはどうするべきなのでしょうか。

今日から始めるステップアップ: 行動喚起

以下では、筆者がサイバーセキュリティベンダーの義務だと考えることを具体的に述べていきます。前述の通り、私たちは OS、インフラストラクチャ、サイバーセキュリティのベンダーに対してはすべてのテクノロジーベンダーの中でもより高い基準を課すべきであり、サイバーセキュリティベンダーは他の模範となるべきだと考えています。

ソフォスは Pacific Rim の活動を通じて、セキュリティ文化の構築、製品ライフサイクルの考え方、そしてセキュリティインシデントの管理について教訓を得ました。攻撃に対処する取り組みを通じて私たちが成し遂げた組織、プロセス、製品、そして技術的な改善は、闘争によってもたらされ、粘り強さによって勝ち取られたものです。私たちは、お客様にセキュリティ成果を提供する上で「すべきこと」と「すべきでないこと」を確認しました。以下で要約します。

まず、「セキュリティベンダーの基盤」におけるいくつかの前提を確認しましょう。第一にソフォスは、先に要約した Secure by Design の 3 つの基本原則を受け入れ、積極的に運用する段階にあります。第二に、ソフォスは Secure by Design の誓約に署名済みであり、ソフォスのトラストセンターなどの透明性の高いインターフェイスを通じて、誓約の 7 つの柱 (多要素認証、デフォルトパスワード、脆弱性全体の削減、セキュリティパッチ、脆弱性開示ポリシー、CVE、侵入の証拠) のそれぞれにおける進捗状況の公表を開始しています。ソフォスは Pacific Rim 以前から、堅牢な SSDLC、一連の製品テレメトリ、企業および製品のセキュリティ運用能力、X-Ops 調査能力を有しており、攻撃者に先行していました。現在文書化されている CISA の理想に向けた進歩の多くは、ソフォスの経験が結実したものです。経験は最良の教師ですが、優れたガイドから学び、それに従うことも重要です。どうぞご活用ください。

CISA のガイダンスに従うようにという筆者のお願いに加えて、Pacific Rim の経験を通じて得た教訓を共有します。これらの教訓は、ソフォスが今回の出来事を乗り切るのに役立ったものであり、より良い結セキュリティ成果を得られた理由でもあります。

1.合併と買収 (M&A)

a. Pacific Rim インシデントの直接的原因は買収ではありませんでしたが、要因は 2014 年にまで遡ります。サイバーセキュリティ業界は動きが早く、多くの投資と統合が行われています。2014 年以来、ソフォスは合計 14 社を買収・統合してきましたが、買収のたびにソフォスのデリジェンスプロセスと統合の規範は向上してきました。ソフォスが得た教訓は以下の 2 つです。

i. 継続的な改善を推進する環境では、昨日のプロセスは今日のプロセスほど厳密ではなかった可能性があります。改良が加えられた場合、重要な部分をもう一度見直し、新たな視点で再点検する価値があります。具体的には、製品アーキテクチャにおける特定の要素を再検査すべきです。

ii.企業を買収する際には、統合の迅速さ (標準やプロセスの採用を含む) と、買収される企業が支障なく事業を継続できるようにすることとのバランス調整において、ある程度の選択肢があるのが一般的です。この状況は特に、買収される企業のテクノロジーが初期段階にはなく、事業の成長に伴って急成長中である場合に当てはまります。ソフォスは、自社の SSDLC プラクティスへの統合をより迅速に行うことで、メリットがもたらされていたと考えます。

2.プログラム可能なテレメトリと分析への投資

a. 多くの侵害調査に共通することですが、データ収集のプロセスは反復プロセスであり、最初の試行での発見が、次の試行で収集すべきデータにつながります。調査を開始した当初は、影響を受けたファイアウォールから新しいデータをプログラムによって収集するために、ホットフィックス機能を利用していました。この手法は効果的ではありましたが、ホットフィックスのアップデートが適用され、データが返されるまでに最大 24 時間かかるのが問題でした。調査を終了する頃には、Linux EDR エージェントがファイアウォール OS システムの標準コンポーネントとしてインストールされ、即座にクエリと応答に利用できるようになっていました。

b. 攻撃の調査を通じて、どのお客様に脆弱性があり、ホットフィックス機能による自動アップデートを受けたか、どのお客様に侵害の兆候が見られたか、どのユニットが攻撃者に侵害されたかを正確に判断する能力が必要不可欠でした。この能力により、アウトリーチキャンペーンを通じてお客様やパートナーに的を絞ったやり取りを行い、敵の行動を注意深く監視できました。

3.運用可能性への投資

a. 未適用のパッチはお客様の保護に役立ちませんし、ベンダーがパッチを利用できるようにしたとしても、公開から適用までにしばしば大きなタイムラグが生じます。アップデートを迅速、安全かつ業務を停止せずに適用する能力は、アップデートそのものと同じくらい重要です。2015年以来、ソフォスのファイアウォール OS システムの一部として、以下に説明するホットフィックス機能とモジュラーアーキテクチャを備えていることが、インシデントへの取り組みを通じてお客様を保護するソフォスの能力に大きな違いをもたらしました。

b. 重要なアップデートを比較的即座に適用できるホットフィックス機能 (たとえば完全なテスト、段階的な展開、バージョニングなど、安全なデプロイプラクティスに従う) が、無事に修正された脆弱性と悪用された脆弱性の違いを生み出している可能性があります。

c. 完全なファームウェアアップデートと再起動を必要とせずに、コードコンポーネントのアップデートを可能にするモジュラーアーキテクチャにより、ホットフィックス機能が実現されます。

4.サポート部門とカスタマーサクセス部門がインフラストラクチャの慣性を打破

a. パッチやアップデートを知らせる製品内の通知は役に立ちますが、管理者がログインすることなく数週間、数か月、あるいは数年経過する可能性のあるインフラストラクチャデバイスでは、ただ機能的に「動いているだけ」の通知では多くの場合不十分です。この状況はインフラストラクチャの慣性のもう一つの側面であり、打破するには何らかの力 (理想は目に見える侵害や障害以外の力) が必要です。

b. ベンダーのサポート組織は一般的にインバウンド業務部門と考えられていますが、ソフォスではセキュリティに関心が低くリスクの高いお客様に対してサポート組織を活用したアウトリーチプログラムを実施しました。これにより、パッチが適用されていない機器のユニットが大幅に減少しました。

c. さらに、顧客の最新の連絡先情報を確保することが重要です。MDR (Managed Detection and Response) のように、顧客と定期的に連絡を取らなければならないサービスでは、優れたデータハイジーンが基本となります。また、最新の連絡先は、脆弱性が発生した場合や、Critical Attack Warning (重大攻撃警告) システム (リンク先: 英語) などの製品テレメトリが初期の攻撃を予測した場合に、(サポート対象外の) 製品のお客様に連絡する際にも役立ちます。

5.艦隊」を監視する

a. 脆弱なインフラストラクチャを侵害するアクティブアドバーサリーは世界的に多数存在しますが、Volt Typhoon 脅威グループは、その大胆な事前配置活動で多くの注目を集めています。さながら吸血鬼を家に招き入れるかのごとく、Volt Typhoon はデジタルデトリウス問題を通じて標的のネットワークに招き入れられます。しかし、単に招待してしまった被害者を非難するのではなく、責任を共有するベンダーと協力してこの問題に取り組む必要があります。

b. Pacific Rim 活動を受けて、ソフォスは現在、ソフォス製品を導入しているお客様もソフォスの一部だと考え、ソフォス社内のインフラストラクチャと同様に資産の「艦隊」を監視しています。このような考え方を、他のベンダーにもぜひ取り入れていただきたいと考えています。

c. インターネット上のほとんどのインフラストラクチャ資産は Linux ベースの OS を使用しているため、専用に構築され、ハードニングされたアプライアンスであったとしても、高権限サーバーのインスタンスであることに変わりはありません。したがって、同様の方法で考え、保護する必要があります。堅牢な検出・対応および監視機能なしで高権限サーバーを運用することが望ましくないのと同じように、お客様が所有する資産をこれらの機能なしで運用することを許可すべきではありません。このような考え方から、私たちは EDR を組み込み、ファイアウォールに採用しています。

d. この能力により、お客様環境がどの程度リスクにさらされているかを正確に判断できるようになっただけでなく、攻撃キャンペーンを通じて攻撃者の一歩先を行くことができ、より効果的にお客様を保護できるようになりました。

e. この機能は事実上、「ファイアウォール向け MDR」やその他のオンプレミスの高権限資産を実現する手段となり、ベンダーはこの機能を差別化要因とするか、収益化要因とするかを選択できます。現在、ソフォスはこの機能を差別化要因だと考えています。

6.助けを求め、受け入れ、提供する

a. Pacific Rim のようなインシデントに遭遇した際、サイバーセキュリティベンダーは、競合他社からの批判や嘲笑、状況への便乗や、顧客/パートナーからの信頼低下など、さまざまな懸念から慎重な行動を取る傾向があります。しかし、インシデント発生時にプライドや羞恥心、競争を気にしている余裕はありません。お客様の利益を守るのために協力し、共有すべき時です。

b. ソフォスは Pacific Rim 活動への対処を通じて、ANSSI、Bugcrowd、CERT-In、CISA、Cisco Talos、CTA、Digital Shadows (現在は Reliaquest の一部)、FBI、Fortinet、Greynoise、JCDC、Mandiant、Microsoft、NCA、NHCTU、NCSC-NL、NCSC-UK、NSA、Palo Alto Networks、Recorded Future、Secureworks、Volexity など、多くの組織や機関と協力しました。

c. このアプローチは、ソフォスのお客様や他のベンダーのお客様をグローバルに、よりセキュアに保つための重要な要素でした。

7.義務よりも推奨事項を重視する

a. ベンダーとして、このような相反する取り組みをどのように進めるのが最善なのか、難しい選択に迫られることがあります。たとえば、個人情報保護法が異なる複数の国に顧客の資産が分散している場合に指標をどのように収集するか、サポートが終了して久しいにもかかわらず (インフラストラクチャの慣性が原因で) 引き続き使用されている製品にアップデートを適用するかどうか、セキュリティに関心を示さない顧客に連絡を取るためにコストをかけるかどうかなどについて、選択を迫られるでしょう。

b. サイバーセキュリティベンダーとしての保護という使命に重点を置いたアプローチを取ることで、このような困難な状況においても明確な答えがもたらされます。

c. たとえば、サポートが終了した製品のアップデートを提供する義務が契約上なかったとしても、あるいは販売終了したバージョンのコード分岐やテスト環境がコールドストレージにあるとしても、義務がないことや不便さ、コストを理由に合理的な努力を怠ってはいけません。

d. 法務チームとの健全なパートナーシップを育成します。脅威から身を守るための行動を取る際に、安全に境界を押し広げる機会があるかもしれません。成熟したリスク管理プラクティスを実践する代わりに法的な仕組みを利用する (脅迫によって研究者を黙らせる、締め出す、など) のはやめましょう。

8.自分自身の情報開示のシナリオをタイムラインを管理し、他者によって管理できるようにする

a. インシデントへの取り組みとその対応について知っていることはすべて、いつかは公表されるという前提で始めるべきです。この考えを情報開示やコミュニケーションの徹底に役立て、適時性と確実性のバランスをとってください。

b. もしあなたがサイバーセキュリティベンダーで、競合他社の製品や業務に脆弱性を発見したのであれば、責任ある情報開示の手順に従ってください。実態のない「サイバーポイント」を獲得するよりも、お客様を被害から守ることを優先してください。

9.その場だけではなく、長期的に市場で勝負する

a. 自社製品の許しがたい脆弱性であれ、世界的な障害であれ、競合他社がニュースになるようなインシデントに直面している際には共感を示しましょう。サポートチーム、エンジニアリングチーム、対応チームが危機を脱した後は、業界全体のレベルアップを促進するために、お互いの責任を厳しく追及すべきです。

すべてのサイバーセキュリティベンダーは CISA のイニシアティブの導入を推進すべきであり、通常脅威インテリジェンスの共有に取り組んでいるのと同様に、組織やオペレーションのベストプラクティスの共有に取り組むべきです。

最後に、インフラストラクチャの慣性とデジタルデトリタスの問題を改善する方法について、サイバーセキュリティエコシステム内の議論を刺激する概念をいくつか紹介します。エコシステムとは、ベンダー、顧客、規制当局、標準化団体、研究者、保険会社、投資家、サービスプロバイダーなど、サイバーセキュリティに関わるすべての主体の集合を指します。(議論を刺激するというのは、これらの概念が支持を強要するのではなく、議論を始めるためのアイデアとして提供されているという意味であり、部分的にはカニンガムの法則の精神に則っています。)

1.認定ライフサイクル – 前述の通り、売り手と買い手には世代間のインセンティブにズレがあります。売り手には世代サイクルを短縮するインセンティブがありますが、競合他社がそうしないのにもかかわらず、ある売り手が自社製品に時間ベースの機能制限を課した場合、その売り手は競争上不利になります。たとえば、ベンダー A がルーターやファイアウォールについて、ある使用期限を過ぎると動作を無効にすることを選択した場合、ベンダー B はそのような制限を課していないことを宣伝できます。この場合、ベンダー A はデジタルデトリタスの問題を解決するために積極的な手段を講じているにもかかわらず、ベンダー B がベンダー A に対して優位に立つことになります。この問題に対処する 1 つの方法として、「認定ライフサイクル」の設定が考えられます。この方式では、製品が製品ライフサイクルを遵守していることが認定されます。ライフサイクルは以下の組み合わせで構成されます。1) 製品の明確な停止日、2) 顧客が驚かせないための段階的な通知、3) ある世代から次の世代への移行を簡素化するためにベンダーが提供する移行機能、4) サイバー保険業界からのサイバーセキュリティ上のメリットを、優遇された商品と料金という形で認識すること、です。

2.リサイクル – 電子廃棄物 (e-waste) は、2022年 には 6,200 万トンを超えると予想され、既に世界で急増している固形廃棄物の一つです。規制への適合 (リンク先: 英語) などの大きな環境上の懸念事項に加え、機密データの漏洩というサイバーセキュリティの問題サイバーセキュリティの問題も存在します。何らかの埋め合わせがなされなければ、認定ライフサイクル方式の採用によってこの問題が悪化する可能性があります。その対策の一つとして、インフラストラクチャデバイスのリサイクルに対するインセンティブを高めることが考えられます。機密データが自動的かつ安全に消去されるようにするためのベンダーのリサイクルへの取り組み (より安全なデフォルト動作として、認定ライフサイクルの要件に自動実行を加えることを含みます) や、アップグレードや逆アセンブルを補助する高度にモジュール化された設計に対するベンダーや独自設計製造業者 (ODM) の表彰、この分野でのイノベーションを促進するための競争に対する表彰 (DoE の E-SCRAP プログラムなど)、循環原則に投資するベンダーに対する補助金 (税額控除など) など、問題の大きさに見合った政府によるインセンティブ提供などが必要です。

3.Secure by Design の価格市場 – 温室効果ガスの排出は公害と並んで、世界中の人々が直面している最も深刻な負の外部性のひとつです。カーボンプライシングは、炭素税や排出権取引といったメカニズムを通じて、この問題に対処するための市場ベースのアプローチです。善良な行為者はクレジットを受け取り、それを炭素市場で売却することで、悪質な行為者から補償を受け取れます。このような市場は、善良な行為にさらなるインセンティブを与えるものであり、その効果は決して軽微なものではありません。たとえば、電気自動車 (EV) 会社の Tesla は 2009年以来、規制の上限を守れなかった他の自動車会社に炭素クレジットを売却し、90億ドル以上の利益を得ています。Secure by Design の優れた活動家 (誓約に向けた進捗を自己証明し、無作為に検証した主体) がクレジットを取得し、そのクレジットを他の企業に補償として販売できるようにするため、同様のキャップアンドトレード市場が創設される可能性があります。市場の透明性は、どのベンダーがクレジットの生産者であり、どのベンダーが消費者であるかの情報や、長期的な進捗状況について、買い手により多くの情報を提供することにも役立ちます。

結論

Jen Easterly 氏が 2024 年の基調講演で語ったアイデアの中には、「サイバーセキュリティが時代遅れになる世界」というビジョンがありました。このアイデアは表面的には、彼女が指揮を執る機関の必要性や、私たちの多くが人生を捧げてきた仕事に反するように思えます。同氏のこの発言は冗談半分のものでしたが、患者への治療が不要世界、つまり患者が健康そのもので、医師が毎日ゴルフに出かけられる世界を望む医師の発言と同じです。筆者は常々、医学の倫理規範であるヒポクラテスの「prumum non nocere (まず害をなすなかれ)」を私たちなりに表現したものを広く採用することで、サイバーセキュリティも恩恵を受けられると感じています。Secury by Design の誓約は、その倫理規範の欠乏を解決するものです。

医学は原因療法を求めますが、対症療法に落ち着きます。皮肉屋がときどき主張するように、職を確保するためではなく、対症療法の方が簡単に実現できるためです。サイバーセキュリティ業界は主に対症療法を扱い、CISA は原因療法を試みています。アスピリンとビタミンのようなもので、私たちがサービスを提供する人々により良い結果をもたらすには、常に両方が必要なのです。

Sophos X-Ops は他社との連携、およびケースごとに追加で詳細な IOC を共有することを歓迎しています。pacific_rim[@]sophos.com までお問い合わせください。

詳細については、こちらのランディングページをご覧ください: Sophos Pacific Rim: Sophos defensive and counter-offensive operation with nation-state adversaries in China