見出し画像

第72話 セキュリティパッチ適用の盲点

吉田 晋 情報処理安全確保支援士(登録025036号)

「うちは大丈夫!」「ほんとう?」

アタリマエ対策3で最も重要なのが「グローバルIPサーバ機器のセキュリティパッチ適用」である。今回はこのセキュリティ対策について誤解を生みやすい3つの盲点について解説する。

盲点1 対象端末機器の洗い出しが最も重要

多くの企業にヒアリングをさせて頂くと、
・把握しているグローバルIPサーバ機器はパッチを適用している。
・しかし全てのグローバルIPサーバ機器が洗い出されているかというルールはんない。
と回答する企業が非常に多い。これはとても残念なことだ。

これをビルの警備に例えるならば
・管理者が把握しているドアの鍵はきちんと施錠している。
・しかしこのビルには自分の知らないドアがあるかはわからない。(自分の知らないドアの施錠はしていない)
ということと同じだ。

まず全てのドアを洗い出すことが第一歩

攻撃者は外部に晒されているグローバルIPサーバ機器は総当りで脆弱性を探査する。しかし守るべき管理人が「自分が知っているドアは施錠しているが、自分が知らないドアは施錠していない」では長年の運用の中では、穴が生じる可能性がある。

事実ランサムウェアで攻撃されるグローバルIPサーバ機器は、システム管理者が想定外であった機器であるケースが多い。

まさか!そのグローバルIP機器は想定外だった。

2022年10月のつるぎ町立半田病院のランサムウェアは、電子カルテシステムに接続されたVPNルータの脆弱性が穴となっていた。
しかし病院のシステム担当者は、SIerからは「電子カルテシステムは閉域網である」という説明を受けていたため、VPNルータにグローバルIPが付与され常時インターネットに晒されていた認識がなかった。(ましてや深刻な脆弱性が残されていたままになっていたことは誰も認識していなかった)

2023年10月の大阪急性期・総合医療センターのランサムウェアは、VPNで接続していた取引先のVPNルータの脆弱性が穴となっていた。
大阪急性期・総合医療センターのシステム管理者は、前年の半田病院の事故の教訓から、同医療センターの機器のセキュリティパッチの適用は行っていた。しかしVPNで繋がっている取引先給食センターのグローバルIPサーバ機器(VPNルータ)の脆弱性は想定外だった。

このように「グローバルIPサーバ機器のセキュリティパッチ適用」は、想定が発生しない洗い出しが最も難しく最も重要であることがわかる。

グローバルIPサーバ機器を漏れなく洗い出す3つの方法

このためには次の3つの対策が有効である。

  • プロバイダーから払い出されたIPアドレス一覧やクラウドサービスの契約一覧から、グローバルIPサーバ機器を台帳などで管理する。

  • ネットワーク図を作成し、閉域回線やVPNで接続している別セグメントネットワークについても洗い出し対象とする。

  • 担当者が一人で洗い出し作業をするのではなく、複数人(可能であればセキュリティ専門家の参画)で実施する。

盲点2 作業担当者が適用判断をしないこと。

2019年に実施された政府調査では、83.4%の企業や組織は「自社はセキュリティパッチ適用のルールがある」と回答している。
しかし一方、2020年に株式会社ブロードバンドセキュリティ社が実施した調査では「自社のサーバ機器はきちんとパッチ適用されている」と回答しているのは31.8%しか存在していない。

経営者と現場の認識の乖離

そしてその理由は

  • 資産管理がなされていない 38.1%

  • テスト環境がない 30.6%

  • 経営の理解が得られない 20.3%

  • 運用再度の協力が得られない 19/0%

となっており、経営者や組織からの理解が得にくいことが原因と考えられる。

もっともこの二つの調査は調査母体や時期や対象が異なるため、単純に比較は出来ないが、実態として、経営者は管理責任者が見逃しな盲点が浮かび上がってくる。

経営者・管理責任者が陥りやすい盲点

  • 経営者や管理責任者は自社はセキュリティパッチ適用ルールが運用されていると信じている。

  • しかし現場では未適用になったサーバや機器が実は存在している。

  • その理由は工数が足りないことと経営者や組織からの理解が得られないから。

作業担当者の主観が入らない基準を

これらの盲点に陥らないためには、セキュリティパッチ適用の基準や時期については、適用作業の担当者の判断という曖昧さに依存しないことだ。
作業担当者は「できるだけパッチ適用は先延ばしにしたい」というバイアスが入ることを想定するべきだ。

したがって

  1. 対象機器はグローバルIPサーバ機器

  2. 対象脆弱性はCVSS7.0以上相当

  3. 適用期間は脆弱性発表から72時間以内

というように、担当者の主観が入らない基準で運用されることと、経営者や組織はその優先度の理解を示していることが大切だ。

一見あてはまらないように見えても注意

また適用脆弱性については「自社ではその脆弱性は該当しない」と担当者が判断するのも危険だ。なぜなら攻撃者は複数の脆弱性を組み合わせて攻撃することも多いからだ。
単一の脆弱性では自社に該当しないように思えても、複数の脆弱性との組み合わせでは有害である可能性はある。
このため上記の1項と2項が該当する脆弱性は、たとえ一見自社に当てはまらないように思えてもセキュリティパッチを適用するべき。ここでも担当者の主観が入ってはならない。

盲点は自覚すれば対応できる

グローバルIPサーバ機器のセキュリティパッチ適用は、重要なセキュリティ対策であると同時に、経営者や管理責任者が陥りやすい盲点もある。
経営者や管理責任者の方におかれましては、この二つの盲点を見落とさず、是非効果的なセキュリティ対策を実施して頂きたいと強く願います。


この記事が気に入ったらサポートをしてみませんか?