サイバーセキュリティ版「賽の河原」? CVE フィード自動化への Airbnb の挑戦 | ScanNetSecurity
2024.07.23(火)

サイバーセキュリティ版「賽の河原」? CVE フィード自動化への Airbnb の挑戦

賽の河原とシシュフォスの岩は、背景やメッセージが異なるものの、終わらない作業(戦い)という点は一致している。セキュリティ対策も「いたちごっこ」などと言われ続け、我々は日々終わりのない戦いに挑み続けている。

研修・セミナー・カンファレンス
サイバーセキュリティ版「賽の河原」? CVE フィード自動化への Airbnb の挑戦(画像はイメージです)
  • サイバーセキュリティ版「賽の河原」? CVE フィード自動化への Airbnb の挑戦(画像はイメージです)
  • センサーデータをメタデータ化してレポーティングシステムがそれを処理する(左:Keziah Plattner 氏、右:Kadia Masha氏:ともに Airbnb のセキュリティエンジニア)
  • 業務ごとにアラートをあげるパラメータを調整する

 CODE BLUE 2023 の開催が迫る。今年の開期は 11月 8 日 (水) から 9 日 (木) までで、フィジカル開催のみ。当日券より 3 万円安い通常チケットの販売は 11 月 2 日 (木) 23:59 まで

 年開催された CODE BLUE 2022の講演の中から、特に興味深かったセッションを厳選し、蔵出しでレポート記事をお届けする。

--

 賽の河原で小石を積み上げる塔を作る。できあがると鬼がやってきて崩されてしまう(菩薩に救われる場合あり)。それを永遠に繰り返す地獄。ギリシャ神話では「シシュフォスの岩」がそれに近い。

 賽の河原とシシュフォスの岩は、背景やメッセージが異なるものの、終わらない作業(戦い)という点は一致している。セキュリティ対策も「いたちごっこ」「Cat and Mouse Game」などと言われ続け、システム管理者は日々終わりのない戦いに挑み続けている。

 そのひとつに「脆弱性管理」がある。企業にとっては、日々更新される CVE 情報、セキュリティ関連ニュース、ベンダーのインシデント報告、業界 ISAC 等からの警戒情報やアドバイザリー、バグハンターからの通報や連絡。これらを自社システムに照らし合わせ、適切なパッチ処理、対策処理を実施しなければならない。攻撃側は自分たちのペースで行動してくるだけと考えると、主導権は相手にありとても勝てる気がしない。

●トリアージの自動化は可能か?


 しかし、負けないためには終わりのない戦いでも続けなければならない。CODE BLUE 2022 では Airbnb のセキュリティエンジニア 2 名による CVE フィードの自動化処理の取り組みが紹介された。Keziah Plattner、Kadia Mashal 両氏は「この戦いには、従来型の脆弱性プログラムの考え方を変える必要がある」と、CVE フィードの自動化処理に取り組む。

 膨大な CVE フィード、脆弱性情報の処理の効率化には自動化は確かに有効である。しかし、このようなスクリーニングやトリアージの自動化には否定的な意見も多い。True Positive(真陽性)を最大化するには、人手によるチェックはどうしても必要だからだ。CVSS スコアはコンテキスト化されていないので自動化処理には使いにくいし、スキャナーの情報、各所からの脆弱性情報はフォーマットやレベルも統一されていない。下手に自動化すると、誤検知が増えるか、効率化やスクリーニングに程遠い警報を上げてくるだけになりかねない。

 ベンダー製品やツールに頼るソリューションもあるが、検査対象や範囲がベンダーごとの機能に左右される。事業・組織ごとのカスタマイズやチューニングが大変で、カバレッジを広げようとするとソリューションが乱立してサイロ化する懸念もある。

●正確でも時間がかかれば取りこぼしてしまう


 どの意見も道理だが、それでも彼女らは自動化はトータルで安全性向上に寄与すると主張する。Airbnb のようなクラウドサービスは、変更や拡張も著しく頻繁に行われる。その都度アタックサーフェスが増えるが、すべてに迅速対応、迅速修復が求められる。

 このような状況では、プロセスやセンサーの限界を人力の運用でカバーしようとしてもうまくいかない。正確さは重要だが、選別や優先度付けに時間をかけていると、それだけ脆弱性を放置することになる。そして人が介在することでのミスも発生する。

 完璧な解ではないが、トリアージの自動化を前提とした脆弱性ハンドリングも考えるべきだ。人手による処理に限界があり、結果として取りこぼす脆弱性が出てしまうなら、人力によるチェックは手段のひとつであり目的(ゴール)ではない。もちろん、目的がセキュアなシステムによるビジネス遂行であるなら、自動化も同様に手段でしかない。だが、適用業務によっては自動化のメリットは人力のそれを上回っても不思議はない。

 両名のアプローチは、CVE フィード処理の自動化について以下を目的として設定した。

・ クラウドインフラの拡張性・柔軟性を守ること
・(必要な脆弱性情報の)迅速な検知、対策、検証
・ 優先度付け
・ 根本的な原因特定
・ ベンダー制約の排除


《中尾 真二( Shinji Nakao )》

編集部おすすめの記事

特集

研修・セミナー・カンファレンス アクセスランキング

  1. 8/8・8/9 セコムトラストシステムズ「IDaaSでここまでできる!」ウェビナー開催 ~ 便利機能 注意点 MFA 製品別特長 ほか

    8/8・8/9 セコムトラストシステムズ「IDaaSでここまでできる!」ウェビナー開催 ~ 便利機能 注意点 MFA 製品別特長 ほか

  2. 開発元にソフトウェアの製造責任を負わせるのは合理的?

    開発元にソフトウェアの製造責任を負わせるのは合理的?

  3. 攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

    攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

  4. 自動車サイバーセキュリティコンテスト「Automotive CTF Japan」新たに開催

  5. 「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

  6. reject(拒否)へのいばらの道を進むには ~ 日本プルーフポイント「DMARC Conference 2024」レポート

  7. ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性

  8. DEFCON CTF 最終日 -- DEFCON CTF 現地速報 その3

  9. 「経産省 営業秘密官民フォーラム」IPA 資料公開、内部不正対策ほか

  10. 世界で最初にXDRを提唱した男のビジョンとは? パロアルトネットワークス講演

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×