CISA KEV の効果:連邦政府機関における脆弱性を 72% も減少させた

Faster Patching Pace Validates CISA’s KEV Catalog Initiative

2023/09/22 SecurityWeek — 米国のサイバーセキュリティ機関 CISA が管理する KEV (Known Exploited Vulnerabilities) カタログにより、連邦政府機関のパッチ適用作業が大幅に改善されたという。現在では、このリストに 1,000件以上の脆弱性が含まれている。2021年11月に開始された、この KEV カタログは、連邦政府機関へのサイバー攻撃で悪用されている判明した脆弱性を、CISA がリストアップしたものである。そして、法的拘束力のある Binding Operational Directive (BOD) 22-01 に従い、それぞれの連邦政府機関は、指定された期間内に対象となる脆弱性にパッチを当てるよう要求される。

CISA によると、2021年11月以降において、連邦政府機関は合計で 1,200万件以上の KEV エントリにパッチを適用しており、そのうちの 700万件は、2023年に入ってから対応されたものだという。


KEV として公開された脆弱性は、連邦政府機関では 72% 減少し、地方自治体や重要インフラ事業体では 31% 減少しているが、パッチ適用までに 45日以上を費やしたケースもあるという。

CISA によると、連邦政府機関などの登録事業体において、KEV カタログによりパッチ適用作業の大幅な短縮が達成されており、一般的な脆弱性と KEV に掲載された脆弱性を比較すると、平均対処時間は9日ほど短縮されているという。また、KEV カタログに掲載されているインターネット向けの問題について、同じように両者を比較すると、36日ほど早く修復されたとされる。

KEV カタログの目的は、脆弱性が存在するソフトウェア製品の使用/悪用の方法に応じて、そこから生じるな影響を分析することで、ユーザー組織における脆弱性管理の優先順位付を促進することだと、CISA は強調する。

CISA は、「インターネットに面した Web サーバは、顧客のアカウントへの特権アクセスを提供するものである。したがって、そこに存在する KEV 脆弱性は、組織内で非特権アクセスを提供する内部システムの同一の KEV 脆弱性と比べて、緩和のための優先順位がはるかに高くなる」と CISA は説明する。

なお、KEV カタログの背景にある考え方は、サイバー・セキュリティ・リスクの軽減にあるが、組織は脆弱性対応計画を実施する際に、このリストだけに依存すべきではない。

CISA は、新たなエントリが KEV カタログに追加されるのは、それが実際に悪用されているという、反論の余地のない証拠があるからだとしている。また、問題の脆弱性に対処するための、パッチや緩和情報などの、手段がある場合に限られると説明している。

CISA は、「公式パッチを見つけられないこともある。このような場合には、私たちは代替のメッセージを介して一般に知らせる。そこには、脆弱性の悪用を防ぐための、取るべき行動が含まれている。いずれにせよ、実行可能なパッチなどの適切な緩和策がない限り、脆弱性を KEV に追加することはない」と指摘する。

さらに CISA はユーザー組織に対して、Stakeholder Specific Vulnerability Categorization (SSVC) のような意思決定モデルを参照し、それに基づいたかたちで、脆弱性管理の優先順位を決めるよう奨励している。

今後、CISA は KEV カタログに対して、それぞれの脆弱性の悪用に関する情報を追加し、組織のパッチ適用優先順位付けを支援する既存のツールに、KEV カタログを組み込む方法を模索すると示唆している。

CISA によると、このカタログに新しい項目が追加されることが、今後は稀になるはずだという。具体的に言うと、脆弱性の蔓延を減らす Decure-by-Design のアプローチの実装により、それが達成されるのだろう。

CISA は、「NCS (National Cybersecurity Strategy) に沿ったかたちで、製品が市場にリリースされる前に、ほぼ全ての KEV が排除される未来に向けて、私たちはエコシステムを推進していく」と述べている。

CISA が KEV を立ち上げてから、そろそろ2年が経ちますが、なかなかの成果を上げているようで嬉しいです。この取り組みの素晴らしいところは、文中にある「それが実際に悪用されているという、反論の余地のない証拠があるからだ」という部分だと思います。この先も、世界で最も有益な脆弱性情報として、頑張ってもらいたいです。よろしければ、2023/09/13 の「CISA がオープンソース保護を本格化:セキュリティ・ロードマップを発表」も、ご参照ください。こちらも、期待大です。