多数のシステムの脆弱性管理に課題

マイナビ転職やマイナビバイトといった就職・転職・アルバイトなどの人材サービスにはじまり、幅広いWebメディアも展開し、創業50周年を迎えたマイナビ。それまで事業部門ごとに構築・運用してきたさまざまなシステムをAWSなどクラウド環境に移行しつつ、ガバナンスの効く体制作りを進めている。

事業の性質上多数の個人情報を扱うマイナビにとって、セキュリティは常に重要な課題の1つであり、事業部ごと、システムごとに対策を講じる他、プライバシーマークも取得してきた。国内、海外両方での脆弱性にまつわるセキュリティ事故の増加を受けて、情報セキュリティ・ガバナンス部の母体となる組織を作り、経営層も含めてよりいっそうの対策強化に取り組み始めたという。

一口にセキュリティ対策と言っても、検討すべき事柄は多岐にわたる。その1つが、さまざまなサービスを支えるシステムのセキュリティリスクや脆弱性情報の可視化だった。

前述の通りマイナビの事業は多岐に渡り、サービス単位で見ても数十種類に上る。サブシステムも含めると全体で数百種類以上のシステムが稼働している。多数のシステムを効率よく管理可能なソリューションが必要だった。

わかりやすいインターフェイスと使い勝手の良さを評価

そんな時に知ったのがFutureVulsだった。「当時、情報収集しているときに見つけたのがVulsです。ちょうど2019年度のソフトウエアジャパンアワードをVulsの開発者がもらった直後ということもあり、注目し、調べてみることにしました」（下別府氏）。 マイナビが当時抱えていた課題にマッチしそうだと感じ、商用版に当たるFutureVulsを試してみることにした。

他に、海外ベンダー製のツールも検討したが、日本製ならではの使い勝手の良さがFutureVulsを選択する大きな決め手になった。「脆弱性管理の仕組みは我々セキュリティ部門だけでなく、事業部門のシステム運用担当者も見て、対応することになります。そうした人たちにとっても分かりやすいツールでなければならないと考えていました」（下別府氏）

さらに、エージェントレスで容易に導入できること、オープンソースに端を発しているためソースコードを確認できることなども評価し、採用を決定。2020年6月から徐々に、賛同してくれる事業部門を中心に、PoC的にFutureVulsの導入を進めていった。

そこに降って湧いたのが、2021年12月に公表されたLog4Shellの脆弱性だ。脆弱性が存在するApache Log4jはさまざまなWebアプリケーションに組み込まれている可能性があり、果たしてどのシステムに影響が及ぶか把握するのが困難だ。マイナビも他の多くの会社と同様に、脆弱性の洗い出しと対応に追われることになった。

「当時、FutureVulsを導入しているシステムはまだ一部でした。システム管理台帳に急遽列を追加し、各部署に『Log4jは含まれているか』『脆弱性は修正済みか、まだならばいつまでに修正するか』といった項目を埋めてもらうアナログな対応で何とか対処しましたが、もうこれは出来ないし、二度とやりたくないと感じました」（下別府氏）

オンプレミスからクラウドへの移行が進み、システム環境が分散したことで脆弱性の管理がいっそう難しくなりつつあった背景に加え、この一件を機に、マイナビではFutureVulsの導入を全面的に進めることになった。

依頼したらすぐに実装されたSSVC、「どれから対応する？」の判断の手助けに

こうしてマイナビでは、FutureVulsを用いた脆弱性管理を運用し始めた。基本的には、事業部側でシステムの運用管理を担う担当者がFutureVulsで脆弱性情報を把握し、対応を行う。何か不明なこと、迷うことがあれば情報セキュリティ・ガバナンス部に尋ね、対処するというフローだ。

「他のチケット管理システムやチャットツールを組み合わせなくても、FutureVulsの中だけでコミュニケーションが完結することもメリットです。『この脆弱性にこう対応したいのですが、大丈夫でしょうか』といったやりとりが全てFutureVulsで完結し、対応経緯をワンストップで記録できるのも大きいと感じています」（官野氏）

ただ、運用を進めるうちに、新たな課題に悩まされるようになった。システムで利用されているソフトウェアと脆弱性の一覧を可視化できるようになったのはいいが、多数上がってくる脆弱性のうちどれを優先的に、どのくらいのスピード感で対応すべきかの判断が難しくなってきたのだ。

「FutureVulsは事前定義したルールを元に自動で注意喚起を行いトリアージを支援するDanger機能がありますが、その基準に迷っていました。『CVSS（Common Vulnerability Scoring System）の値が何点以上で、かつネットワークから攻撃可能なもの』といった具合に色々な条件を組み合わせて作成していましたが、ちょっと筋が悪いなと感じていました」（下別府氏）

そんな時に知ったのが、既知の悪用された脆弱性カタログや資産のインターネットへの露出度などをベースに、決定木を用いて現実的な対応方針を算出するSSVC（Stakeholder-Specific Vulnerability Categorization）だ。「これだ、と思いました」（下別府氏）

だが残念ながら当時、FutureVulsはSSVCに対応していなかった。そこで下別府氏は、FutureVulsのAPIを使ってSSVCの情報を取得し、反映する仕組みを自力で開発することも考えたという。だが、ステータス変更など一部の機能が実装できないことが判明した上に、コードのメンテナンスに手間を取られる点がネックだと悩んでいた。

そこでフューチャーに「何とかならないだろうか」と率直に相談したところ、数ヶ月でSSVC対応機能が実装された。「FutureVulsに組み込んでもらうところまでは期待していなかったので、嬉しい驚きでした」（下別府氏）

さらに、フューチャーの支援を得ながら「どの基準の脆弱性については、何日以内に対応する」という目安をまとめた社内向け脆弱性対応ガイドラインも作成した。「フューチャーの技術者の方に草案をレビューしてもらい、詳細な意見をいただきながら作成したガイドラインで、今運用を行っています」（下別府氏）

脆弱性管理に取り組み始めると、あまりに大量の「緊急」「重要」な脆弱性が検出され、情報に振り回される事態がよく生じる。だが、FutureVulsとSSVCを活用することで「たくさんある脆弱性の中から、本当に対応しなければならない問題が絞られ、現実的な数になります。システム担当者もそれを見ながら対応してくれています」と下別府氏は評価している。

SSVCの基準に含まれる、露出度を示す「Exposure」の値をFutureVulsに登録することで、いわゆるアタックサーフェイスマネジメント（ASM）に近しい取り組みにもつながっている。

新たな脆弱性が公表されるたびに右往左往する事態とはもうおさらば

SSVC対応に限らず、マイナビではフューチャーとチャットツールを介してやりとりしながら脆弱性管理のプロセスを回している。海外ベンダーのソリューションでは難しい、技術的に深い相談事についても開発メンバーと直接対話できる点は大きなメリットだという。

「何かわからないことがあればすぐに回答をいただけます。複数グループの情報が集約された画面からの一括コメント機能のように、依頼したらすぐに実装してもらえた機能もあります」（官野氏）

情報セキュリティ・ガバナンス部でも、FutuerVulsの導入やより良い運用に向け、さまざまな工夫を凝らしてきた。この仕組みをうまく回していくには、実際に脆弱性対応にあたる各部署に、脆弱性の扱いやFutureVulsの操作について理解してもらう必要がある。このため、フューチャー側が用意する情報に加え、マイナビ独自のドキュメントを作成し、それを元に説明会を開催して使い方を説明していった。

またユニークな試みとして、情報セキュリティ・ガバナンス部の新卒研修の一環として行われるCTFの1つに「この脆弱性の情報を確認し、CVE IDを入力してください」といった問題を設けることで、自然とFutureVulsの扱い方を学べるような工夫もしている。

こうした取り組みも相まって、マイナビにおける脆弱性管理は順調に回り始めている。特に感じているのは、影響範囲の大きな脆弱性、深刻な脆弱性が発覚した時の対応がやりやすくなったことだ。もう、Log4Shellの時のように右往左往することはない。

「FutureVulsの画面上で脆弱性を一元管理でき、一目で可視化できるため、何か脆弱性情報が公表された時でも、ポチッと検索するだけで『そのコンポーネントはうちで使っているんだっけ』ということを確認でき、非常に助かっています」（官野氏）。新たな脆弱性にCVE IDがまだ発行されていない段階でも、ソフトウェア名を元に検索できることも利点だという。

もし脆弱性が含まれるソフトウェアが見つかれば、漠然と注意を呼びかけるのではなく、「このソフトウェアに、このような脆弱性が指摘されているので対応してほしい」と、具体的な情報に基づいて各担当者に依頼できる。「FutureVuls側に十分な情報が示され、実際にどんな影響があるのかを把握した上でお知らせできるので、担当者にも『これを見て対応してください』と言いきることができています」（官野氏）

自動化できる部分はどんどん自動化、EPSS対応にも期待

FutureVulsによって、現実の危険性に即した脆弱性管理を実現したマイナビ。その中核となっているFutureVulsについては、使い勝手やサポート体制も含め、「満点です。操作もとてもシンプルですぐに慣れましたし、サポートもスピーディで助かっています」（官野氏）という。

かつて起こったインシデント以来、セキュリティに対する感度が全社的に高まっていることもあり、FutureVulsを活用しての取り組みは社内でも評価され、全社表彰・部署表彰を受けている。

とはいえ、情報セキュリティ・ガバナンス部の業務はこれで終わりではない。AIをはじめとした新興テクノロジーのセキュリティ対策や事業部門との連携など、取り組むべき領域はまだ残っている。EPSS（Exploit Prediction Scoring System）対応(※1)などFutureVulsのさらなる機能強化に期待しつつ、今後も弛まぬ取り組みを進めていく方針だ。

※1. 2024/1/15リリースにてEPSSに対応済み
https://help.vuls.biz/release-note/20240115/#epss

「僕たちも、決して人的リソースが十分というわけではありません。この限られた人的リソースは、インシデント発生時など深いレイヤーの判断が求められるときに備えて取っておきたいと考えています。そのためにも、FutureVulsのようなソリューションを活用し、自動化できるところはどんどん自動化していきたいと考えています」（下別府氏）