Trellixが15年前公表のPythonモジュール脆弱性について約58万レポジトリを調査、いま何件存在する？：セキュリティ・アディッショナルタイム（48）

McAfeeのエンタープライズ事業とFireEyeの統合で設立された新しいセキュリティ企業Trellixは2022年9月28日、カンファレンスをラスベガスで開催し、一部をオンラインで配信。リサーチ部門Trellix Advanced Research Center（ARC）の設立を発表した。ARCが15年前に公表したPythonのtarfileモジュールに存在するパストラバーサル脆弱性について約58万の公開レポジトリを調査したところ、今なお存在する割合は高いものだったという。

[高橋睦美，＠IT]

　ランサムウェアによる被害が急増し、脆弱（ぜいじゃく）性を突いた不正アクセスも後を絶たない中、かつてに比べると企業トップもセキュリティ対策の必要性を認識するようになってきた。政府や監督省庁からの注意喚起、あるいはグループ企業や取引先からの要請で、セキュリティ対策に取り組まざるを得ないという背景もあるだろう。

　ただ今度は別の課題が浮上してきた。被害を防ぎ、事業への影響を抑えるためにさまざまな製品を導入したのはいいが、現場のIT担当者、セキュリティ担当者の負荷が増大しているのだ。それは海の向こうの米国でも同様のようだ。

　米国のセキュリティ企業、Trellixは2022年9月28日にカンファレンスをラスベガスで開催し、一部をオンラインで配信した。同社は独自の調査結果を踏まえながら、セキュリティ運用負荷の増大という課題にどう取り組むべきかの指針を紹介した。

攻撃の増大を前に疲弊するセキュリティチーム

　Trellixは、McAfeeのエンタープライズ事業とFireEyeの統合で設立された新しいセキュリティ企業だ。両社の資産を生かしつつ、機械学習（ML）技術や自動化を組み合わせたeXtended Detection and Response（XDR）製品を軸に事業を展開している。

　同社CEOのブライアン・パルマ氏は基調講演の中で、現在のセキュリティ状況の特徴を4つ挙げた。

　1つは、国家が民間企業をターゲットにしたサイバー攻撃を展開していることだ。その手段として頻繁に用いられているのが、攻撃の動きを隠蔽（いんぺい）しやすく、長期にわたって潜伏可能な「サプライチェーン攻撃」だという。「Solarwindsの一件が示した通り、国家が別の国家を攻撃するだけでなく、民間企業も攻撃するようになっている」（パルマ氏）

　2つ目は、攻撃対象範囲「アタックサーフェス」の拡大だ。日本でも近年見られる傾向だが、電子メールによる攻撃に加え、SMSを用いた「スミッシング」が増加している。

　3つ目は、以前から存在した標的型攻撃の増大で、特にランサムウェアが標的型攻撃の手法を取り入れ、中小・中堅企業から大手企業に至るまで、多くの民間企業に甚大な損害を与えている。

　そして、これらの帰結でもあるが、4つ目のポイントが「セキュリティチームの疲弊」だ。ただでさえセキュリティに関する知識を持った人材は不足しており、新たにセキュリティ担当者を雇うのも、転職せずに社内にとどまってもらうのも困難となり、ギリギリの運用を強いられているケースが多い。「そこに、自動化もされない形でさまざまなセキュリティ機器から多数のアラートが届き、セキュリティチームは燃え尽きている状態だ」とパルマ氏は指摘した。

「セキュリティチームの疲弊が大きな問題だ」（パルマ氏）