パッチの重要性を理解している企業の全てが、パッチを十分に適用できているわけではない。リスクがあるにもかかわらず、パッチ未適用のIT製品は至る所にある。それはなぜか。
グレッグ・スコット氏はRed Hatでサイバーセキュリティ専門家として働いている。かつて独立系ITコンサルタントだったスコット氏は、顧客の法律事務所のネットワークに新しいユーザーアカウントを追加していた。そこで、その顧客が管理する「Windows Server」サーバの自動更新が、数カ月にわたって失敗していたことに気付く。未適用のパッチが山のように存在し、しかも増え続けていた。
スコット氏はその顧客の同意を得て、原因を調査することにした。8時間に及ぶ調査の結果、元凶はフォントファイル内の小さな、だが影響の大きな競合状態であることが分かった。「私はそれを修正し、Windows Serverにパッチを適用した。皆喜んでくれた」と同氏は振り返る。ただし「かかった時間分の料金を私が請求するまでは」(同氏)。
顧客は憤慨した。自分たちが分かる範囲では問題なく動いていたWindows Serverの修正に、かなりの金額を支払うことになったからだ。スコット氏によると、この顧客との関係は修復不能になった。「困ったことに、いまだに大企業には、こうした近視眼的な考え方が残っている」と同氏は語る。「パッチを適用すると時間とコストがかかり、システムが不安定になる」という考えの下、「壊れていなければ修正しない」と判断する大企業は少なくない。
パッチを適用していないIT製品のリスクは、たいていは見落とされたり、無視されたりしがちだ。リスクをもたらす脅威や脆弱(ぜいじゃく)性が目に見えないことが背景にある。調査会社Ponemon Instituteが2019年に発表した調査結果では、調査対象のセキュリティ担当者約3000人のうち、「既知の脆弱性を修正するパッチを適用していれば攻撃を防止できた」と回答したのは60%だった。調査会社Osterman Researchが2021年に発表した調査結果では、調査対象のセキュリティ担当者130人の64%が、新たに見つかった脆弱性にパッチを適用するのに数日~数カ月かかっていることが明らかになった。
企業のパッチ適用が遅れる理由は人材不足、互換性問題、ITインフラの複雑さと多岐にわたる。パッチ適用が遅れた結果、サイバー攻撃者がすでに悪用している脆弱性を修正できていない企業が被害に遭うことになる。
米TechTarget傘下の調査会社Enterprise Strategy Groupでシニアアナリストを務めるダグ・ケーヒル氏は、そうした被害企業がパッチを適用していなかったことを「責めるべきではない」と語る。「真に悪いのはサイバー攻撃者だ。企業がパッチ適用を遅らせるもっともな理由がある場合もある」とケーヒル氏は付け加える。
動画配信サービスHBO Maxの最高情報セキュリティ責任者(CISO)ブライアン・ロザダ氏は、特に現代の複雑なマルチクラウド(複数クラウドサービスの併用)におけるパッチ適用の難しさを指摘する。「理解していないものを修正するのは困難だ。最適な修正方法を実現できる簡単な正解があるとは限らない」とロザダ氏は話す。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
クラウド利用が当たり前となった今日、セキュリティ対策もまたクラウド環境に適したものでなくてはならない。とはいえ、大量のデータポイントが生成されるクラウド領域にあって、その全てのポイントを網羅するのは並大抵のことではない。
ビジネスでのAPI利用が進むにつれ、そのAPIを標的としたサイバー攻撃も増加している。それらに対抗するためには、「シャドーAPI」や「ゾンビAPI」を洗い出し、セキュリティ対策を徹底する必要がある。その正しい進め方を解説する。
ある調査で企業の61%がセキュリティ優先事項のトップ3に挙げるほど、重要度が高まっているアイデンティティー管理・保護。その中で昨今注目されているのが「IGA」というアプローチだ。そのメリットや、導入方法を解説する。
DX推進によってさまざまなビジネスシーンでデジタル化が加速しているが、そこで悩みの種となるのがセキュリティの担保だ。リソースやコストの制限も考慮しながら、DXとセキュリティを両輪で進めるには何が必要になるのか。
サイバー攻撃が巧妙化し、セキュリティチームとSOCは常に厳戒態勢を取り続けている。さらにデジタルフットプリントの拡大に伴い、セキュリティデータが絶え間なく往来する事態が生じている。このような状況に対応するには、SOARが有効だ。
数分でデータを人質に 進化するランサムウェアに有効な「第2世代EDR」とは (2025/3/4)
クラウドサービスの脆弱性をどう解消する? 安全な開発環境を構築するヒント (2025/3/4)
「複雑、高額、難しい」を変える中堅・中小向けSASEのメリットを解説 (2025/2/10)
「Box」に移行してもなくならない「お守り仕事」を根本から効率化するには? (2025/1/23)
これからのセキュリティ対策に必要な「防御側の優位性」、AIはどう実現する? (2025/1/22)
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...