ペンテストを頑張っても同じ脆弱性が再発するのは何故だろう?

Despite Pen Testing Efforts, Stubborn Vulnerabilities Persist

2021/07/14 SecurityBoulevard — エンタープライズ・ソフトウェアの脆弱性対策に携わるセキュリティ専門家にとって、同じ種類の脆弱性に対してパッチや緩和策を繰り返すのは、まるで「聖濁節」のように思えることがある。クラウドソースのペネトレーション・テストを提供する、Cobalt が発表したレポートによると、この既視感は決して気のせいではないようだ。Cobalt のデータベースによると、ソフトウェアの脆弱性の中で最も一般的な5つのカテゴリーは、この3年間に渡ってほぼ同じであることが分かった。

また、OWASP Top 10 Vulnerabilities レポートを調べてみると、クロスサイト・スクリプティングやアクセス制御の問題といった脆弱性は、2003年から蔓延し続けていることも分かった。なぜだろうか?なぜ企業は、特定の欠陥を無くすことができないのか?あるいは、問題を抑え込むことや、発生頻度を少なくすることができないのか?はっきりとした理由は無いだろうが、その一端を Cobalt のレポートが明らかにしている。

ペネトレーションテストの現状 2021

Cobalt の年次報告書 The State of Pentesting 2021 は、米国/ドイツ/オーストリア/スイスの IT セキュリティ専門家 601人を対象とした、調査に基づく、ものである。回答者は全員、従業員数 500人以上の組織に勤務し、ペネトレーション・テストの経験がある。また、実際に行われた 1,602件のペン・テストのデータも評価されている。回答者の 96% は、安全なソフトウェア開発手法が義務付けられると答えているが、実際のところ、脆弱性は繰り返して発生する。

また、昨年には、平均して 54件の脆弱性を発見/修正したと答えている。しかし、60% の回答者は、発見/修正したはずの脆弱性が、後に再発するのを目撃したと答えている。再発の原因の一つは、アプリケーションのレビューが、不完全だったことにあると考えられる。回答者の 78% は、ペン・テストの優先順位が高いことに同意してはいるが、ペン・テスト実施率の平均は、アプリケーション・ポートフォリオ全体の 63% となっている。その理由は、主に経済的なものだと思われる。

回答者の 86% が、ペネトレーション・テストのスキルセットを持つ人材の、確保や雇用が困難であると回答している。また、58% がペネトレーション・テストには費用がかかり過ぎる答え、42% がペネトレーション・テストを行う予算がないと答えている。経済的な問題に続いて、ペネトレーション・テストには本質的な難しさがある。回答者の 61% が、ペネトレーション・テストの実施は難しいと回答している。また、半数以上の回答者が、ペネトレーション・テストの実施には非常に時間がかかると回答しており、数日以内に実施を完了できると回答したのは 22% に留まる。

重要な脆弱性を迅速に修正する

グッド・ニュースとしては、調査対象者の 93% が、重要な脆弱性をタイムリーに修正できると回答していることだ。その一方で、中低ランクの脆弱性への対応は、かなり遅いとされている。回答者の4分の1は、中低ランク脆弱性への対応に、60日以上が必要だと回答している。回答者の大多数は、エンジニアリング・チームとの関係を改善できると答えている。セキュリティとエンジニアリングの関係を良好と回答したのは約半数、普通とする回答は 18% であった。

また、30% の回答者は、セキュリティ・チームとエンジニアリング・チームは相互に絡み合っていると回答した。まだまだ改善の余地があると、明確に認められた分野があり、とりわけ自動化に関しては、その傾向が顕著だ。回答者の約 75% が、ペン・テストで発見した問題を、手動で修正していると答えている。また、予想された結果だが、上手く機能しない原因について、回答者の半数は、ワークフローの非効率性がエンジニアリング・チームから指摘されると述べている。

すべてを人手に頼るのでは、必要な脆弱性情報を収集することも困難だと思います。したがって、さまざまな局面で自動化を試みることが、セキュリティ・チームの命題になっているのでしょう。しかし、ペンテストを実施するにしても、超えなければならない課題があるようです。それ以前に、ソフトウェア資産リストの作成と運用があり、そこでもスキャナーを上手く使うという課題があります。そして、脆弱性情報との自動突合を行うための環境作りなど、たくさんのハードルがあります。一つ一つ、対応していく他に、道はなさそうですね。

OSやミドルウェアなど製品の脆弱性対応はとにかくパッチを当てることでしょう。一方、手作りのアプリケーションのプログラムミスや設定のミスに起因する脆弱性は、パッチでは如何ともし難いので、その存在をペネトレーションテストで見つけるしかないでしょう。
ただねえ、アプリやシステムを「作る人」のセキュリティ意識が向上しないと、この問題は改善に向かわないんだよねー。

フィッシングやランサムウェアがデータ侵害を増幅していく
DarkReading レポート:マルウェアの危険性について再考しよう
電子メール疲れがサイバー犯罪のドアを開くという悲しい現実
Google Scorecards は OSS のセキュリティリスクをスキャンする
API ファースト時代のアプリケーション保護を再考する
CISA がリリースしたランサムウェア自己監査ツールとは?
2021年 Q1 に検出されたマルウェアの 74% は従来からの防御をすり抜ける

%d bloggers like this: