企業が「パッチ」を適用しない理由と、“脆弱性放置企業”を責められない理由パッチ適用が難しい6つの理由【第1回】

パッチの重要性を理解している企業の全てが、パッチを十分に適用できているわけではない。リスクがあるにもかかわらず、パッチ未適用のIT製品は至る所にある。それはなぜか。

2021年11月18日 09時00分 公開
[Alissa IreiTechTarget]

関連キーワード

運用管理 | セキュリティ対策 | 脆弱性


 グレッグ・スコット氏はRed Hatでサイバーセキュリティ専門家として働いている。かつて独立系ITコンサルタントだったスコット氏は、顧客の法律事務所のネットワークに新しいユーザーアカウントを追加していた。そこで、その顧客が管理する「Windows Server」サーバの自動更新が、数カ月にわたって失敗していたことに気付く。未適用のパッチが山のように存在し、しかも増え続けていた。

 スコット氏はその顧客の同意を得て、原因を調査することにした。8時間に及ぶ調査の結果、元凶はフォントファイル内の小さな、だが影響の大きな競合状態であることが分かった。「私はそれを修正し、Windows Serverにパッチを適用した。皆喜んでくれた」と同氏は振り返る。ただし「かかった時間分の料金を私が請求するまでは」(同氏)。

 顧客は憤慨した。自分たちが分かる範囲では問題なく動いていたWindows Serverの修正に、かなりの金額を支払うことになったからだ。スコット氏によると、この顧客との関係は修復不能になった。「困ったことに、いまだに大企業には、こうした近視眼的な考え方が残っている」と同氏は語る。「パッチを適用すると時間とコストがかかり、システムが不安定になる」という考えの下、「壊れていなければ修正しない」と判断する大企業は少なくない。

企業が「パッチ」を適用しない“複雑な理由”

会員登録(無料)が必要です

 パッチを適用していないIT製品のリスクは、たいていは見落とされたり、無視されたりしがちだ。リスクをもたらす脅威や脆弱(ぜいじゃく)性が目に見えないことが背景にある。調査会社Ponemon Instituteが2019年に発表した調査結果では、調査対象のセキュリティ担当者約3000人のうち、「既知の脆弱性を修正するパッチを適用していれば攻撃を防止できた」と回答したのは60%だった。調査会社Osterman Researchが2021年に発表した調査結果では、調査対象のセキュリティ担当者130人の64%が、新たに見つかった脆弱性にパッチを適用するのに数日~数カ月かかっていることが明らかになった。

 企業のパッチ適用が遅れる理由は人材不足、互換性問題、ITインフラの複雑さと多岐にわたる。パッチ適用が遅れた結果、サイバー攻撃者がすでに悪用している脆弱性を修正できていない企業が被害に遭うことになる。

 米TechTarget傘下の調査会社Enterprise Strategy Groupでシニアアナリストを務めるダグ・ケーヒル氏は、そうした被害企業がパッチを適用していなかったことを「責めるべきではない」と語る。「真に悪いのはサイバー攻撃者だ。企業がパッチ適用を遅らせるもっともな理由がある場合もある」とケーヒル氏は付け加える。

 動画配信サービスHBO Maxの最高情報セキュリティ責任者(CISO)ブライアン・ロザダ氏は、特に現代の複雑なマルチクラウド(複数クラウドサービスの併用)におけるパッチ適用の難しさを指摘する。「理解していないものを修正するのは困難だ。最適な修正方法を実現できる簡単な正解があるとは限らない」とロザダ氏は話す。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

新着ホワイトペーパー

製品資料 フォーティネットジャパン合同会社

クラウドに必要な「データドリブンなセキュリティ」を実現する方法とは?

クラウド利用が当たり前となった今日、セキュリティ対策もまたクラウド環境に適したものでなくてはならない。とはいえ、大量のデータポイントが生成されるクラウド領域にあって、その全てのポイントを網羅するのは並大抵のことではない。

製品資料 TIS株式会社

Web攻撃総数の2割以上が狙うAPI、適切な管理とセキュリティ対策を行うには?

ビジネスでのAPI利用が進むにつれ、そのAPIを標的としたサイバー攻撃も増加している。それらに対抗するためには、「シャドーAPI」や「ゾンビAPI」を洗い出し、セキュリティ対策を徹底する必要がある。その正しい進め方を解説する。

製品資料 Okta Japan株式会社

アイデンティティー管理/保護の注目手法、「IGA」とは何か?

ある調査で企業の61%がセキュリティ優先事項のトップ3に挙げるほど、重要度が高まっているアイデンティティー管理・保護。その中で昨今注目されているのが「IGA」というアプローチだ。そのメリットや、導入方法を解説する。

製品資料 株式会社エーアイセキュリティラボ

AIで人材不足を解消、セキュリティ担当者のためのDXガイド

DX推進によってさまざまなビジネスシーンでデジタル化が加速しているが、そこで悩みの種となるのがセキュリティの担保だ。リソースやコストの制限も考慮しながら、DXとセキュリティを両輪で進めるには何が必要になるのか。

製品資料 パロアルトネットワークス株式会社

セキュリティ運用を最適化し、SOCの負担を軽減する「SOAR」とは?

サイバー攻撃が巧妙化し、セキュリティチームとSOCは常に厳戒態勢を取り続けている。さらにデジタルフットプリントの拡大に伴い、セキュリティデータが絶え間なく往来する事態が生じている。このような状況に対応するには、SOARが有効だ。

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

ITmedia マーケティング新着記事

news014.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news046.png

「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news026.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...