Categories: 政府/自治体

セキュリティ パッチ マネジメントにおける”大いなる神話”

この記事は、シスコで US パブリック セクター担当サイバーセキュリティ プログラム リードである Peter Romness によるブログ「The big myth about security patch management(2018/6/28)の抄訳です。

「システムのセキュリティ パッチを更新していれば、マルウェアの被害には遭わなかったでしょう」重大なインシデントが起こるたびに、ニュースメディアでその言葉が繰り返されます。何年もの間、セキュリティ専門家は、防御の第一線として「システムを最新の状態に保つ」ことを推奨してきました。これは確かに、常識的なアプローチです。ほとんどの違反は既知の脆弱性を悪用しており、多くの場合に、パッチは有効です。そして、ソフトウェア アップデートでシステムに最新のパッチを当てるのは、簡単であると思われます。

サイバー セキュリティにおけるパッチの問題

しかし、実際のところ、ネットワークのための効果的なセキュリティパッチのマネジメントは、それほど簡単でありません。どうしてでしょうか。主な理由を詳しく見てみましょう。

システムが多過ぎ問題:ほとんどの IT マネージャは多忙で、過労です。定期的な更新が必要な何千ものコンピュータを管理していることもあり、場合によっては、環境内のすべてのシステムを認識していないことさえあるでしょう。非常に多くのシステム上で、異なるソフトウェアのアップデートを管理することは困難であり、効果的なタイミングのアップデートを難しくします。

レガシーシステム問題:多くの組織では、古いカスタム アプリケーションが利用されています。これらはアップデートされていないもしくは、アップデートできない可能性があります。ソフトウェアがもはやサポートされていないからです。しかし、古いソフトウェアは、仕事を終わらせるため、というシンプルな理由から、引き続き使用されています。

パッチ テストしなければならない問題:通常、パッチが正常に動作するかを確認するためにテストを行う必要があります。そしてそのテスト実行にも、組織内の「生産変更管理委員会」を通過する必要があります。そして、安全な時間帯に実施する必要があります。(例えば、土曜日の午前2時。・・・一体誰が!?)これらは確実に、限られたリソースを蝕みます。

組み込みシステム問題:お使いのコンピュータは、マシン コントローラ、出荷システム、または組織を稼働するためのツールなど、特定のタスクを実行する他のシステムの一部である場合があります。これらの多くはミッション クリティカルで、1 日 24 時間稼働しており、更新することは非常に困難です。さらに、これらのシステムでは、古い Windows XP が稼働していたりもします。

新しい脆弱性問題:パッチは、既知の脆弱性に対してのみ対応しています。新たな脆弱性が発見されると、パッチの開発と配布には時間がかかります。当然、新しい(または未知の)マルウェアは、最新パッチであっても効き目がありません。

ユーザ問題:ユーザの動作がマルウェアやデータの損失の原因となることがよくあります。セキュリティ トレーニングを行っても、組織のメンバーは、情報漏えいやパスワードの盗難、誤って情報を共有したりすることに騙される可能性があります。さらに残念ながら、悪意のある一部のユーザには、当然ながらパッチ適用は効き目がありません。

サイバーセキュリティを維持する方法

そう、もはやセキュリティ パッチの神話は崩壊したのです。仮に、タイムリーにパッチを当てることができたとしても、マルウェアは依然として問題になり続けるのです。上記のケースで見たように、パッチ適用は必ずしも機能しません。組織を安全に保つには、マルウェアを他の方法で検出して、停止する必要があります。

しかし、パッチが万能薬ではない理由はたくさんありますが、あなたは依然として、パッチを当て続ける必要があります。どうして?それは、パッチが依然として、全体的かつ効果的な、セキュリティへの取り組みの、重要な部分であるためです。

組織のサイバー セキュリティを維持するには、組織のリスク ベースの意思決定を活用する、アーキテクチャ アプローチを開発する必要があります。

・あなたの組織にとって最も重要なことは何ですか?

・最も重要なデータは何ですか?

・予算はいくらですか?

マルウェアがあなたの環境に侵入する他の方法にも、パッチを当てて保護する必要があります。ベストプラクティスを使用して、すべての拠点を確実にカバーすることもできます。もしお望みであれば、我々は、NIST Cyber​​security Framework(CSF) を出発点として、ご提案します。

シンプル、オープンで自動化されたセキュリティ

シスコでは、戦略計画の策定、ネットワークにすでに組み込まれている機能の活用、革新的なセキュリティ機能の追加による、より包括的なセキュリティを提供します。また、ネットワークへの可視性を高め、簡単に統合できるソリューションの実現をご提案します。

それにより、シンプル、オープンで自動化されたセキュリティ アプローチを構築し、増大する脅威から組織をよりよく保護することが可能となります。

シンプル、オープンで自動化されたセキュリティ アプローチを作成する方法については、こちらをご覧ください。
www.cisco.com/jp/go/security

政府向けの最新サイバー セキュリティ脅威への迅速な対応については、2018 年次サイバー セキュリティ レポート(Government for Government)をご覧ください。
https://engage2demand.cisco.com/LP=6449?CCID=cc000105 [英語]

シスコ アイデンティティ サービス エンジン(Cisco ISE)の受賞については、こちらをご覧ください。
https://www.cisco.com/c/ja_jp/products/security/identity-services-engine/index.html

Share
冲中 恒雄

2011 年 シスコに新卒入社。

入社後はシステムズ エンジニアとして、主に企業向けのネットワーク運用管理全般および製品を担当。

2016 年よりビジネス開発担当として、中小企業向けの市場開発に奮闘中。