検索
特集/連載

セキュリティパッチの検証と導入はスピードが命、具体的な進め方は中途半端は危険

ゼロデイ攻撃の危険性はかつてないほど増している。だからといって、検証していないパッチを運用システムに適用することも危険だ。運用環境の外部でパッチを迅速に検証する手段がなければ、それは重大なリスクだ。

Share
Tweet
LINE
Hatena

 パッチ検証環境と運用環境が同じなら散々な目に遭遇するだろう。

 企業ITの情勢は急速に変化し、大量のデータが利用されているため、パッチを運用システムに適用する前に信頼性の高いパッチ検証方法を用いる必要がある。セキュリティパッチとは、既知の脆弱(ぜいじゃく)性の解決に使用するソフトウェアパッケージだ。IT運用管理者がソフトウェアを最新状態にアップデートしていなければ、システムのセキュリティが侵害されることは避けられない。これは起きるかどうかではなく、いつ起きるかという問題だ。

 パッチ管理は多面的な取り組みによって強化する必要がある。ITサービス管理(ITSM)内でパッチ管理のプロセスを確立し、ステージング領域やテスト領域に運用環境を忠実にミラー化し、素早く更新する必要がある。

プロセスを整える

 パッチ管理は、ITSM内で変更管理の一環として行うことになる。企業は「ITIL(IT Infrastructure Library)」「COBIT(Control Objectives for Information and related Technologies)」など、多くのITSM標準を選択できる。また、複数の標準を組み合わせて利用することも可能だ。各フレームワークは、IT部門のハードウェア資産とソフトウェア資産の変更を管理する計画とドキュメントを提供する。

 パッチ検証では、セキュリティパッチが攻撃への潜在的な脆弱性を解決することを検証する。企業はパッチをインストール後に再現テストを実行して、パッチが基幹業務のサーバやサービスの機能を停止しないことを確かめる必要がある。検証していないパッチを適用することは、パッチを適用しない設計よりも危険性が高くなる可能性がある。

 実用的な変更管理やパッチ管理戦略を採用していない企業は、まず、主要ITSMフレームワークを調査して、自社のニーズに最も合うものを見つけることだ。信頼性の高いパッチ管理がない企業は、重要なデータをランサムウェアなど、マルウェアの感染の脅威にさらすことになる。ランサムウェアとは、通常匿名の暗号通貨で身代金を支払うまで、データにアクセスできなくするか機密情報を公開すると脅迫する攻撃を指す。

中途半端なセキュリティパッチの危険性

画像
ランサムウェアWannaCryがユーザーのファイルを暗号化した後に表示されるメッセージのスクリーンショット《クリックで拡大》

 2017年に起きたランサムウェア「WannaCry」攻撃では、Microsoftの古いファイル共有プロトコル「サーバーメッセージブロック(SMB)バージョン1」の「EternalBlue」という脆弱性が悪用された。Microsoftはこの脆弱性を確認し、サポート対象のWindowsデスクトップとWindows Serverバージョンのパッチを同年3月にリリースした。その後、WannaCryがもたらした打撃が原因で、サポートを終了したバージョンのWindowsもパッチの適用範囲に追加されている。

 Microsoftがパッチをリリースしたにもかかわらず、非常に多くの基幹業務システムがWannaCryの攻撃を受けている。これは、こうした企業のIT部門がMicrosoftのパッチサイクルを意図的に遅らせていたか、極めて低い頻度でしかシステムにパッチを適用していなかったことに起因する。これは、10年前から続いていると見受けられる傾向だが、現在のITシステム管理では受け入れられない。

 管理者は積極的にシステムにパッチを適用しなければならない。迅速性が重要だ。商用ソフトウェアやオープンソースソフトウェアで意図せず発生する脆弱性を突いて攻撃を行仕掛けるゼロデイ攻撃や悪意のあるソフトウェアは待ってくれない。企業は、新しいコードを配信する際と同様に、パッチについても継続的インテグレーションと継続的デプロイメントの考え方を守る必要がある。

優れたパッチ検証環境

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る