セキュリティパッチの検証と導入はスピードが命、具体的な進め方は：中途半端は危険

ゼロデイ攻撃の危険性はかつてないほど増している。だからといって、検証していないパッチを運用システムに適用することも危険だ。運用環境の外部でパッチを迅速に検証する手段がなければ、それは重大なリスクだ。

≫ 2018年02月13日 05時00分公開

[Tim Warner，TechTarget]

併せて読みたいお薦め記事

脆弱性対策に取り組む

パッチ管理について

プロセスを整える

　パッチ管理は、ITSM内で変更管理の一環として行うことになる。企業は「ITIL（IT Infrastructure Library）」「COBIT（Control Objectives for Information and related Technologies）」など、多くのITSM標準を選択できる。また、複数の標準を組み合わせて利用することも可能だ。各フレームワークは、IT部門のハードウェア資産とソフトウェア資産の変更を管理する計画とドキュメントを提供する。

　パッチ検証では、セキュリティパッチが攻撃への潜在的な脆弱性を解決することを検証する。企業はパッチをインストール後に再現テストを実行して、パッチが基幹業務のサーバやサービスの機能を停止しないことを確かめる必要がある。検証していないパッチを適用することは、パッチを適用しない設計よりも危険性が高くなる可能性がある。

　実用的な変更管理やパッチ管理戦略を採用していない企業は、まず、主要ITSMフレームワークを調査して、自社のニーズに最も合うものを見つけることだ。信頼性の高いパッチ管理がない企業は、重要なデータをランサムウェアなど、マルウェアの感染の脅威にさらすことになる。ランサムウェアとは、通常匿名の暗号通貨で身代金を支払うまで、データにアクセスできなくするか機密情報を公開すると脅迫する攻撃を指す。

中途半端なセキュリティパッチの危険性

ランサムウェアWannaCryがユーザーのファイルを暗号化した後に表示されるメッセージのスクリーンショット《クリックで拡大》

　2017年に起きたランサムウェア「WannaCry」攻撃では、Microsoftの古いファイル共有プロトコル「サーバーメッセージブロック（SMB）バージョン1」の「EternalBlue」という脆弱性が悪用された。Microsoftはこの脆弱性を確認し、サポート対象のWindowsデスクトップとWindows Serverバージョンのパッチを同年3月にリリースした。その後、WannaCryがもたらした打撃が原因で、サポートを終了したバージョンのWindowsもパッチの適用範囲に追加されている。

　Microsoftがパッチをリリースしたにもかかわらず、非常に多くの基幹業務システムがWannaCryの攻撃を受けている。これは、こうした企業のIT部門がMicrosoftのパッチサイクルを意図的に遅らせていたか、極めて低い頻度でしかシステムにパッチを適用していなかったことに起因する。これは、10年前から続いていると見受けられる傾向だが、現在のITシステム管理では受け入れられない。

　管理者は積極的にシステムにパッチを適用しなければならない。迅速性が重要だ。商用ソフトウェアやオープンソースソフトウェアで意図せず発生する脆弱性を突いて攻撃を行仕掛けるゼロデイ攻撃や悪意のあるソフトウェアは待ってくれない。企業は、新しいコードを配信する際と同様に、パッチについても継続的インテグレーションと継続的デプロイメントの考え方を守る必要がある。

優れたパッチ検証環境

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

会員登録（無料）が必要です

邯壹″繧定ｪｭ繧

TechTargetジャパントップシステム運用管理