民間部門の企業は、サイバーセキュリティのベストプラクティスを米国連邦政府に求めています。米国のサイバーセキュリティ＆インフラセキュリティ庁（CISA）は、既存の製品にパッチを当てることや、他の製品の使用を避けるよう命令や指示を出しています。また、米国国立標準技術研究所（NIST）は、サイバーセキュリティ・フレームワーク（CSF）など、さまざまなセキュリティトピックに関する詳細なガイダンスを提供する重要な文書を発行しています。

すべきこと vs できること

政府機関によるサイバーセキュリティに関するガイダンスを知っておくことは非常に重要です。しかし、もっと重要な次の段階は、その指導に従うことです。

WindowsやmacOSのようなオペレーティング・システムは、長い道のりを経てソフトウェア・アップデートを自動化し、容易に展開できるようにしました。多くの企業はコンピュータを集中管理しており、重要なソフトウェア・アップデートを数時間から数日で展開することができます。

一方、ハードウェア・アプライアンスは、パッチを当てるのが困難かつ、重要なインフラであることが多いため、IT部門は運用のダウンタイムに配慮しなければならず、週末や休日に行われることも多いです。また歴史的に、パッチや修正プログラムを適用しても同じように動作することはなく、トラブルシューティングに時間がかかり、生産性が低下し、攻撃のリスクが高まってしまいます。

CISA KEVカタログ – 重要事項に焦点を当てる

米国CISAのKEV（Known Exploited Vulnerability：既知の悪用された脆弱性）カタログは、政府機関に最も重要なパッチを義務付けており、民間企業はどこに重点を置くべきかを知るのに役立ちます。

KEVのカタログは、注目に値するいくつかの重要な洞察にも言及しています。Imperva Incapsula、Okta、Cloudflare、Cato Networks、Zscalerなど、クラウドネイティブなセキュリティ・ベンダーは、データベースに1件たりともも記録されていません。これは、これらの企業のソリューション・アーキテクチャが、継続的なサービスにおいて脆弱性にパッチを適用・修正することを可能にしているためです。

一方、ハードウェア・ベンダーは2023年9月現在、シスコが65件、VMwareが22件、フォーティネットが11件、パロアルトネットワークスが4件となっています。

サイバーリスク分析と必然的な結論

CISAのKEVは氷山の一角にすぎません。ほとんどの企業は、非常に多くの脆弱性のリスクを評価するためのチームと専門知識、およびそれらに継続的にパッチを適用するためのリソースが不足しているため、現実には企業はサイバー攻撃にさらされたままにされているのです。

アプライアンスベースのセキュリティを信頼するリスクに対し、クラウドベースのセキュリティを信頼するリスクが低いことは明白です。こうしたことから、おそらく近い将来、米国のNISTやCISAといった政府機関が、ある時点でアプライアンス・ベースのセキュリティ・ソリューション使用に反対を勧告したり、禁止したりするのは必然的な結論といえます。

実践的アドバイス

この事態に関する私の分析が大げさであると思う方は、フォーティネットが最近の脆弱性について独自分析をし、政府や重要インフラがターゲットにされていると明言しているレポートをご覧ください。

セキュリティ・アプライアンスは数十年前から存在していますが、製品にシームレスで抵抗がなく、自動的でリスクのないパッチを当てるという夢は実現しませんでした。それは、クラウドネイティブのセキュリティ・ソリューションでしか実現できないのです。

現在契約済みのセキュリティ・インフラがアプライアンス・ベースである場合、来る更新サイクルで、クラウド・ネイティブ・セキュリティに移行する方法を計画し始めるべきでしょう。

当記事は、Cato Networksのウェブサイトでブログとして投稿された記事の抜粋です。全文はこちらで閲覧いただけます。