Vuls祭り#10 | 脆弱性管理の最前線〜リスク評価からSSVC、VEX、AIまで〜

イベント開催の背景

8月30日の「金曜ロードショー」にて『天空の城ラピュタ』が放映されます。 「バルス」の呪文がラピュタを崩壊させるように、我々はシステムをバルスされないようリスクを適切に管理する必要があります。 ということで急遽、バルス祭りを開催することになりました。

開催日時・場所

• 日時: 2024年08月20日(火) 18:00~ (17:30開場)
• オフライン：Future株式会社　アートヴィレッジ大崎 セントラルタワー 14F リビング
• オンライン：リアルタイム配信は無し（後でアーカイブを公開できるかもしれない、できないかもしれない）

タイムテーブル（仮）

タイムテーブルは調整中です。

イベントの概要

基調講演として、ICI(伊藤忠サイバー＆インテリジェンス)から最近公開された「ICIリスクアセスメントツール」の内容をもとに、リスクアセスメントツール・全体的なリスクアセスメントの考え方、実際にICIでは脆弱性をどのように取り扱ってどのように対応しているのかについて紹介していただきます。

Software Bill of Materials (SBOM)やSoftware Composition Analysis (SCA)ツールの普及により、既知の脆弱性の可視化が進んできました。しかし、その一方で大量に検知された脆弱性の影響調査、リスク判断、優先順位付けが難しいという新たな課題が生じています。以降のセッションでは、それらの課題を解決する以下の２つのアプローチについて紹介します。

• ノイズを減らす
  • 検知された脆弱性が「実際に影響するのかを機械的に判別可能」なVEX（Vulnerability Exploitability eXchange）
• 優先順位づけする
  • 検知された脆弱性の「実際のリスクに応じた対応優先度を判断可能」なSSVC（Stakeholder-Specific Vulnerability Categorization）

２番目のセッションでは、今回のバルス祭りに参加するためだけの理由で中東から緊急帰国した 「knqyf263 a.k.a 中東いくべぇさん」 によるVEXの紹介です。本当に対応が必要な脆弱性を絞り込むために提案されたVEXについて基礎的な話を説明し、 TrivyにおけるVEXの実装を紹介します。

３番目のセッションでは、各種コンテナ関連OSSメンテナ (Moby, BuildKit, containerd, runc, Lima等)を務める須田さんよりLLMを用いたVEXの生成方法について紹介いただきます。

４番目のセッションでは、「バルスのニキ 神戸（かんべ）さん」 がSSVCを紹介します。KEV、EPSS、Vulnrichment等の無償のデータソースを活用して対応優先度を判断する方法をデモを交えてご紹介します。

最後のセッションでは、「Vulsの開発者 中岡さん」による脆弱性スキャンツールの技術的な詳細について紹介します。検知精度の肝となるデータソースについて新たなデータソースの模索や今進めているVulsの新バージョンについての紹介とデモをおこないます。

これらのセッションを通じて、脆弱性管理に関する最新の知識と実践的なスキルを習得し、リスクを効率的に評価する方法を学びます。

セッション概要

リスクアセスメントツールの根柢思想・脆弱性対応の実際

【登壇者】

• 佐藤氏 (@58_158_177_102)：リサーチャー
• 羽鶴氏 (@kawada_syogo225)：リサーチャー

【内容】

最近、ICI リスクアセスメントツールというサイバーセキュリティーのリスク対応に特化したツールを公開しました。 前半では、このツールの輪郭と中身を必死こいて作っていた作者から、ツールを作成する際に気を付けていた暗黙のルールについて共有します。 後半では、現場で実際に脆弱性対応を指示しているリサーチャーが、実際に行っている一連の対応サイクルを紹介します。

脆弱性管理のパラダイムシフト - VEXの理論と実践 / SBOM turns on all relevant lights, and VEX turns off all the unnecessary ones

【登壇者】

中東いくべぇ (@knqyf263)：pet 開発者

【内容】

Software Bill of Materials (SBOM)やSoftware Composition Analysis (SCA)ツールの普及により、既知の脆弱性の可視化が進んできました（というのはサービストークで本当はSBOMは認めてない😡）。しかし、その一方で過剰な脆弱性検出による対応負荷の増大という新たな課題が生じています。この課題に対応するため、米国商務省電気通信情報局（NTIA）のマルチステークホルダーグループにおいて考案されたのが、VEX（Vulnerability Exploitability eXchange）です。VEXは、製品が特定の脆弱性の影響を実際に受けるかどうかを示す、機械可読な仕組みです。"First, SBOM turns on all relevant lights, and VEX turns off all the unnecessary ones."という例えは、この概念を端的に表現しています。SBOMが全ての潜在的な脆弱性を可視化し、VEXがそれらの中から実際に対処が必要なものを自動的に絞り込みます。

本発表では、VEXの理論的背景を解説するとともに、OSSのセキュリティスキャナーTrivyにおける実装を紹介します。VEXの普及は、より効率的な脆弱性管理の未来を切り開く鍵となると信じています。

VexLLM: LLMを用いたVEX自動生成ツール

【登壇者】

須田氏 (@_AkihiroSuda_)：各種コンテナ関連OSSメンテナ (Moby, BuildKit, containerd, runc, Lima等)

【内容】

Trivyなどのコンテナイメージ脆弱性スキャナを用いると大量の脆弱性が検出されることがありますが、それらの全てが対処を必要とするわけではありません。 コンテナイメージに含まれる全てのライブラリやコマンドラインツールの全ての機能が使われるわけではないからです。 例えば python:3.12.4 イメージには、脆弱性 CVE-2024-32002 を持つ git バイナリが含まれていますが、実行するPythonアプリケーションが git コマンドを実行しないことがわかっているならば、当該の脆弱性について直ちに対処する必要性はありません。 OpenVEXなどのVEX (Vulnerability-Exploitability eXchange)を用いて脆弱性の対処要否を記述すると、Trivy などのツールの無駄な警告の出力を抑制させることができます。 しかしながら、大量の脆弱性について対処要否を評価し、VEXを記述するには手間がかかります。 本発表では、GPTなどのLLMに脆弱性の対処要否を評価させ、VEXを生成させるツール VexLLM を紹介します。 https://github.com/AkihiroSuda/vexllm

「残業？来週でOK?」金曜午後の脆弱性対応判断に使えるSSVCのデモ

【登壇者】

バルスのニキ 神戸氏(@kotakanbe)

【内容】

VulsやTrivyなどのツールで資産リストアップや脆弱性検知、SBOM作成が自動化されましたが、検知された大量の脆弱性の影響調査とリスク判断、優先順位付けが次の課題です。SSVC（Stakeholder-Specific Vulnerability Categorization）は、カーネギーメロン大学が提案し、CISAも推奨するリスクベースで判断可能な最近話題のトリアージ手法で、決定木を用いて対応優先度を判断します。本セッションでは、SSVCの概要と判断に使える無償データソース（CISA-KEV, Vulncheck KEV, ShadowServer, EPSS, Vulnrichment）を紹介し、脆弱性と脅威情報を用いてトリアージを実演します。このセッションを聞けば金曜午後に知った重大脆弱性が残業対象か来週なるはや対応で良いを自信と説得力をもって判断できるようになるでしょう。

脆弱性検知を支える技術

【内容】

future CSIG所属 中岡氏 (@MaineK00n)

【登壇者】
VulsやTrivyなどのOSSセキュリティスキャナが2016年ごろから公開され、気軽に脆弱性を検知できるようになりました。今回は、Vulsで実装されている脆弱性検知方法の中から、CPEを利用した脆弱性検知を紹介します。また、それを支えるデータソースのNVDが更新を一時停止したことによって、MITRE CVE List / CISA Vulnrichment といった新たなデータソースを検討した結果を共有します。

Vulsは手探りの中開発を進めてきて、8年経ちました。我々は現代のセキュリティスキャナに求められる機能を実装するために、大規模なリファクタリングを行う予定です。リファクタリング途中ではありますが、デモを交えながら今後のVulsがどのように進化していくかを示します。