私はこれまで幾度となくパッチ管理を話題にお話をしたり、ブログに書いたり、イベントで講演したりすることで、皆様にパッチ管理の重要性をお伝えしてきました。

どの企業もパッチについてはしっかりと管理できていると主張していますが、その一方で脆弱性の感染に関連するデータ侵害について私たちがニュースや報道で目にする事件の件数は、四半期毎に増えているように思えます。しかも、データ侵害の被害を受けてから事態を回復するためにかかる諸コストは、優れた予防ソフトウェアや対策を導入するのにかかるコストをはるかに上回るのです。

大規模な感染

2017年中旬、世界中を混乱に陥らせたランサムウェア攻撃「WannaCry」については誰もが耳にしたことがあるかと思います。

もちろんWannaCry以外にも多数のマルウェア感染が発生していますが、例えばWannaCryは150ヵ国以上の国において20万社を超える企業に影響を与えました。WannaCryにより企業が40億米ドルもの経済的被害を被ったと指摘する報告もあります。優れたパッチ管理対策に従うだけで防ぐことができた損害に対して支払う金額として、40億米ドルは多額すぎます。

WannaCryでは、Microsoftのサーバメッセージブロック(SMB)プロトコルの実装を悪用する「EternalBlue」と呼ばれるエクスプロイトが使用されました。つまり、この攻撃は利用できるほぼすべてのWindowsオペレーティングシステムに影響を及ぼしたということです。

ここで新たな問題が浮き彫りとなります。なんとMicrosoftはWannaCry攻撃の標的となった脆弱性を解決するため、攻撃が行われる2ヶ月前にあたる2017年3月14日にソフトウェアパッチを公開していたのです。

つまり、たったひとつのパッチを適用さえしていれば、あの大惨事は防ぐことができたのです。

ではなぜパッチが展開されないのか?

20万社という極めて多くの企業が影響を受けたものの、その多くがパッチを適用していたというのが現実です。では影響を受けなかった企業は何が違ったのでしょうか?

平均的に、企業がデバイスにパッチを適用するためには90~120日かかります。これにより、パッチが公開されてから、パッチが適用されるまでの間に大きすぎるタイムラグが生じてしまうのです。

パッチがタイムリーに展開されない理由を企業が正当化する際、大抵多数の要因が挙げられます。

パッチをテストし、展開するための人手が不足しているのかもしれません。4~5件のプロジェクトが同時進行しているため、各プロジェクトに社内の人員が割かれているのかもしれません。企業にとっての最大の課題は、発表されている膨大な数の脆弱性に対処し、自社に関連する脆弱性に的を絞って取り組む方法を見つけることなのです。

アメリカの脆弱性情報データベース(NVD)では、2018年に特定された共通脆弱性識別子(CVE)が16,000件を上回ったと報告されています。展開する必要のあるパッチを判断するため取捨選択することは、規模を問わずあらゆる企業を圧倒する作業になり得るのです。

パッチ公開から適用までのタイムラグを短縮する方法

ほとんどの大企業には、どんな犠牲を払っても自社環境を守ることを仕事とするセキュリティ部門が設置されています。

セキュリティ部門は、脆弱性がないかネットワークをスキャンし、CVEのリストを作成し状況を運用部門に報告します。円滑な企業運営を維持する役割を担う運用部門は、CVEのリストを確認し、各CVEを解決するパッチの特定に取り組み、各パッチを必要とするデバイスにパッチを適用する必要があります。

当社の2つのパッチソリューション、「Ivanti Security Controls」と「Ivanti Patch for Endpoint Manager」には、「CVEを特定しパッチを適用する」独自機能が装備されています。

この機能は、あらゆるサードパーティーの脆弱性スキャンツールからCVEリストをインポートすることを可能にします。さらに、この機能はインポートしたリストを該当するパッチのリストに変換します。しかも変換されたリストはダウンロードして展開できます。この機能だけで、運用部門はCVEの検索にかかる何百時間もの時間を節約できます。さらにこの機能は、デバイスに対して速やかにパッチを展開し、120日間のタイムラグを数時間に短縮するためにも役立ちます。

可能な限り自動化を導入する

パッチ公開から適用までのタイムラグの短縮に役立つもうひとつの重要な方法が、可能な限り自動化を導入することです。

CVEとパッチを一致させることは、一方向の自動化に過ぎません。ランブックの自動化を活用することで、新しいデバイスのスキャンから、適用できるパッチのスキャン、パッチウィンドウ(パッチ公開からパッチ適用までの期間)中のパッチの展開、全プロセスの成功/失敗に関する報告まで、API経由でパッチプロセスのほぼすべての段階を自動化できます。

複雑なパッチ作業を実施する場合には、サービスを停止し、サーバーを再起動し、指定した順序ですべてのバックアップを開始する順番に実行するプロセスを自動化することもできます。

Ivantiは、脆弱性について初めて情報を入手した瞬間から、CEOにパッチが完全に適用されたと報告するまでのタイムギャップを劇的に短縮させるためのサポートを提供いたします。

脆弱性が感染されてから、修正されるまでのタイムギャップを短縮するためにIvantiができるサポートに関する詳細は、こちらをクリックし、デモをご依頼になるか、無料試用版をダウンロードするか、当社チームの担当者までお問い合わせください。