企業が「パッチ」を適用しない理由と、“脆弱性放置企業”を責められない理由：パッチ適用が難しい6つの理由【第1回】

パッチの重要性を理解している企業の全てが、パッチを十分に適用できているわけではない。リスクがあるにもかかわらず、パッチ未適用のIT製品は至る所にある。それはなぜか。

[Alissa Irei，TechTarget]

　グレッグ・スコット氏はRed Hatでサイバーセキュリティ専門家として働いている。かつて独立系ITコンサルタントだったスコット氏は、顧客の法律事務所のネットワークに新しいユーザーアカウントを追加していた。そこで、その顧客が管理する「Windows Server」サーバの自動更新が、数カ月にわたって失敗していたことに気付く。未適用のパッチが山のように存在し、しかも増え続けていた。

　スコット氏はその顧客の同意を得て、原因を調査することにした。8時間に及ぶ調査の結果、元凶はフォントファイル内の小さな、だが影響の大きな競合状態であることが分かった。「私はそれを修正し、Windows Serverにパッチを適用した。皆喜んでくれた」と同氏は振り返る。ただし「かかった時間分の料金を私が請求するまでは」（同氏）。

　顧客は憤慨した。自分たちが分かる範囲では問題なく動いていたWindows Serverの修正に、かなりの金額を支払うことになったからだ。スコット氏によると、この顧客との関係は修復不能になった。「困ったことに、いまだに大企業には、こうした近視眼的な考え方が残っている」と同氏は語る。「パッチを適用すると時間とコストがかかり、システムが不安定になる」という考えの下、「壊れていなければ修正しない」と判断する大企業は少なくない。

併せて読みたいお薦め記事

パッチ適用の手法と課題

• セキュリティパッチの検証と導入はスピードが命、具体的な進め方は
• Exchange Server脆弱性問題で考える「なぜパッチの適用は進まないのか」

企業が「パッチ」を適用しない“複雑な理由”

　パッチを適用していないIT製品のリスクは、たいていは見落とされたり、無視されたりしがちだ。リスクをもたらす脅威や脆弱（ぜいじゃく）性が目に見えないことが背景にある。調査会社Ponemon Instituteが2019年に発表した調査結果では、調査対象のセキュリティ担当者約3000人のうち、「既知の脆弱性を修正するパッチを適用していれば攻撃を防止できた」と回答したのは60％だった。調査会社Osterman Researchが2021年に発表した調査結果では、調査対象のセキュリティ担当者130人の64％が、新たに見つかった脆弱性にパッチを適用するのに数日〜数カ月かかっていることが明らかになった。

　企業のパッチ適用が遅れる理由は人材不足、互換性問題、ITインフラの複雑さと多岐にわたる。パッチ適用が遅れた結果、サイバー攻撃者がすでに悪用している脆弱性を修正できていない企業が被害に遭うことになる。

　米TechTarget傘下の調査会社Enterprise Strategy Groupでシニアアナリストを務めるダグ・ケーヒル氏は、そうした被害企業がパッチを適用していなかったことを「責めるべきではない」と語る。「真に悪いのはサイバー攻撃者だ。企業がパッチ適用を遅らせるもっともな理由がある場合もある」とケーヒル氏は付け加える。

　動画配信サービスHBO Maxの最高情報セキュリティ責任者（CISO）ブライアン・ロザダ氏は、特に現代の複雑なマルチクラウド（複数クラウドサービスの併用）におけるパッチ適用の難しさを指摘する。「理解していないものを修正するのは困難だ。最適な修正方法を実現できる簡単な正解があるとは限らない」とロザダ氏は話す。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。