「パッチ適用の責任者がいない」問題が企業のセキュリティを脅かす理由：パッチ適用が難しい6つの理由【第4回】

パッチ適用は重要な業務だが、実施に際してさまざまな問題が付きまとう。企業はなぜ、危険性を理解していながらパッチを適用しないままにしているのか。3つの課題を取り上げる。

[Alissa Irei，TechTarget]

　第2回「『パッチを全て、今すぐ適用する』がなぜ“間違い”なのか？」、第3回「IT担当者が『更新ボタン』を“全てを台無しにするボタン”だと考える理由」に続き、本稿は企業のパッチ運用がうまくいかない理由を解説する。

理由4．手動のパッチ適用は時間がかかり、問題が頻発する

併せて読みたいお薦め記事

パッチ適用の手法と課題

• セキュリティパッチの検証と導入はスピードが命、具体的な進め方は
• Exchange Server脆弱性問題で考える「なぜパッチの適用は進まないのか」

　「IT担当者の業務負担を軽減し、問題の発生を最小限に抑えるには、パッチ適用の自動化が重要だ」というのが専門家の見解だ。一方で調査会社Ponemon Instituteが2019年に発表した調査結果によると、調査対象のセキュリティ担当者約3000人のうち、2019年に脆弱（ぜいじゃく）性管理とパッチ適用の自動化ツールを使っていたのは44％にとどまる。

　「企業が担当者に手動でパッチを適用させている場合、そのシステムはダウンする」。セキュリティとクラウド分野のコンサルティング企業ZenacitiのCEO、アンドリュー・プレイトー氏はそう語る。「実際に担当者の能力が低いとしても、それは担当者の能力が低いからではない。彼らが人間だからだ。人間は必ずミスをする」とプレイトー氏は付け加える。

理由5．パッチ適用の責任が分散している

　Ponemon Instituteの調査結果によると、調査対象の88％が、「パッチが適用されていないソフトウェアについて、全面的に責任を負っているわけではない」と考えている。セキュリティ部門が、開発部門やIT運用部門など他部門との間で調整する必要があるために、パッチ適用が平均12日間遅れることも分かった。

　パッチ適用の責任が分散することによって、パッチ適用が遅れるだけでなく、重大な脆弱性を修正できないままになる場合もある。例えば企業が利用しているAdobe製品に脆弱性が見つかった場合、システム、データベース、アプリケーションを管理する各部門のうち、どこがそのAdobe製品のパッチ適用の責任を負うのか、誰にも分からない。その結果、誰も手を挙げず、Adobe製品は攻撃を受けて企業に被害が出ることになる。

　こうした問題に対して、企業はどう対処すればよいのか。セキュリティコンサルティング企業Cosant Cyber Securityで、同社の顧客のバーチャル最高情報セキュリティ責任者（vCISO）を務めるブライアン・グレーク氏は以下の解決策を提案する。

• 密接なコミュニケーション
• 明確なセキュリティポリシーの制定
• パッチ適用手順の確立
• 役割ベースの責任分担

理由6．パッチ適用は退屈

　「一部のIT担当者は、平凡で退屈なためパッチ適用の仕事をおろそかにしている。担当者がもっと面白いプロジェクトに参加すると、パッチ適用をなおざりにしやすい」と、プレイトー氏は指摘する。新型コロナウイルス感染症（COVID-19）の流行など、業務を混乱させる事象が発生した場合もそうだ。IT部門が収拾に追われて手が足りなくなることに加え、緊急のタスクを優先して処理するため、パッチ適用は後回しにされやすい。

　グレーク氏は、セキュリティリーダーが脚光を浴びている新しい技術やトレンドに気を取られ、それらの導入を優先させるあまり、基本的な脆弱性対策にしわ寄せが行きがちだと指摘する。パッチを適用せずに重大な脆弱性を何年も放置している状態は、常にサイバー攻撃の危険と隣り合わせだ。「最良のサイバーセキュリティ対策は目新しいものではない。だがそうした対策こそが必要だ。それを適切に導入すれば、ニュースを生まずに済む」と同氏は助言する。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。