ここ数年で脆弱性管理を取り巻く環境は「劇的に」変化しています。5～6年前までは1年間で発見される脆弱性は数千件程度でしたが、昨今は発見される脆弱性の数が急激に増加。昨年の公表では年16,500件以上報告されています。ServiceNowの高橋氏は、そういった現状に対して、日々、脆弱性の対応に追われている「現場の疲弊」を指摘します。

「脆弱性はCVSS（共通脆弱性評価システム）の10点満点のスコアリングで評価されており、一般的に7点から10点を『危険』として優先順位付けする事があります。しかし、数年前から公表される脆弱性の多くが7点以上となり、昨年は全体の6割、1万件以上を占めています。多くの企業がエクセルシートをベースにした手作業での対応を行っている現状においては、もはや人の手で対応するのは物理的に不可能になっています。結果として、さまざまなソフトウエアにパッチが当たらず、脆弱性を抱えた状態で運用されています。

　PCに侵入して身代金を要求するランサムウェアWannaCry（ワナクライ）は2年前に大流行し、すでに広く周知されている対策があるにも関わらず、現場では目の前の業務に忙殺されてしまい、未だにパッチ適用も行えず被害をうける企業があるのが実情です」

　セキュリティエンジニアであるTenableの阿部淳平氏は、脆弱性が急増している背景を次のように説明します。

「サーバーやPCのみならず、スマートフォンやIoT機器なども含めてセキュリティ対策が必要な範囲が拡大したことが挙げられます。SaaS普及によるOSやアプリケーションの多様化も影響しています。ベンダーからアプリケーションの脆弱性情報が随時公開されていますが、その情報がサイバー攻撃の標的になることもあり、イタチごっこが続いています」

　経済産業省やIPA（情報処理推進機構）などが策定したセキュリティ対策のガイドラインでは、最初に取り組むべきポイントとして、脆弱性管理の徹底を挙げています。さらにNISTと呼ばれるセキュリティの国際標準フレームワークでも、脆弱性管理は重要な対策のひとつとして定義されています。

　そういった流れもあり、高橋氏は、企業内での脆弱性管理への意識が変わりつつあると言います。

「脆弱性管理を含むセキュリティ対策を外部委託するケースも多く見受けられます。しかし、いざインシデントが発生したときに最終的に責任を負うのは委託元である企業です。そのため現在、多くの企業で脆弱性管理を専任で行なう担当者を置き、被害を受けてからの対処療法ではなく、まずは被害を受けないように備える脆弱性管理を自社内できちんと行おうという流れになりつつあります」

　被害を受けないように「備える」脆弱性の管理が重要である背景のひとつとして、2020年に向けて世界から注目が集まることがあります。サイバーテロのリスクも高まると予測されており、高橋氏は、日本企業であれば、業種や規模に関係なく等しくサイバー攻撃の対象になると指摘します。

「最近のサイバー攻撃の傾向は、利益目的あるいは政治的なメッセージの発信など目的が明確なものが多く、世界が注目するイベントは、攻撃者にとって効果が見込める絶好のチャンスです。イベントの協賛スポンサーといった関係企業だけが狙われると思われがちですが、海外からの攻撃は想像以上にシンプルです。例えばTOKYOというワードが社名に入っている企業をすべて攻撃対象とするなどです。

　かつて官公庁が集まる“霞が関”と勘違いされ、茨城県の“霞ケ浦”のサイトが攻撃を受けたケースもあります。他人事と捉えず、日本に拠点を置く企業はすべて攻撃対象になる可能性があると考えるべきです」

　こうした一連の攻撃を回避するのは難しいことではないと話すのは、阿部氏です。

「攻撃の多くを占めるのが、脆弱性のある端末を標的とする手口です。また攻撃では新しい脆弱性だけでなく、古い脆弱性も多く利用され、実際に被害を招いています。逆に言えば、脆弱性管理の仕組みをしっかりと作るだけで、それらは未然に防げるということです。今から取り組みを進めても、十分に2020年に間に合わせることができるはずです」