第64話 セキュリティパッチが未適用になるケース

電子書籍「ゼロトラストFTA」

ゼロトラストFTAの２０２２年度版を電子書籍で発表した。
Amazon KindleとRakuten koboで価格０円で配布しているので、興味がある方は是非ご覧頂きたい。

【2022年度版】ゼロトラストFTA: 「はずトラスト」から「ゼロトラスト」へ

【2022年度版】ゼロトラストFTA　はずトラストからゼロトラストへ

本書の構成は以下となっている。

第1章 ゼロトラストFTAとは
第2章 脆弱性攻撃
第3章 認証突破攻撃
第4章 情報紛失
第5章 内部不正
第6章 管理者必見! セキュリティ対策の優先順位
第7章 ゼロトラスト製品の導入効果
コラム:ゼロトラストの未来1
　システム管理者の過負荷が最大の脆弱性だった
コラム:ゼロトラストの未来2
　本当にファイルダウンロードは必要なの?
コラム:ゼロトラストの未来3
　本当にグローバルIP公開は必要なの?
コラム:ゼロトラストの未来4
　本当に機密ファイルのPC保存する必要あるの?
コラム:ゼロトラストの未来5
　最後まで残る脆弱性は・・・

セキュリティパッチ適用が最優先の対策

この書籍で読者の方に最も読んで頂きたいのは第６章だ。
今回はその中でも「セキュリティパッチ対策」について解説する。

どの企業でも実施するべき「最も効果の高い対策」は次の４点である。

その中でも特に「セキュリティパッチの適用」はどの企業においてもセキュリティ対策の基本と言える。

多くの企業は「うちの端末はセキュリティパッチは適用されているはず」と考えていることだろう。しかし、情報漏洩は「想定外でパッチがあたっていなかった端末」から起きるのだ。

どのようなケースで「未適用端末」が発生するのか。FTAで解析する。

最優先端末は３種類

またどの企業においても優先的にセキュリティパッチの適用をするべきなのは次の３の端末である。

1. グローバルIP付与端末

2. インターネットに接続できる業務端末

3. ADサーバ

未適用あるかもチェック

上記のFTAのケースをこの３つの端末それぞれに当てはめて、次のようなチェックリストを作成した。
ITセキュリティの責任者の方は、自社の場合はどうであるか、是非このチェックリストを実施して欲しい。

チェック1–1：グローバルIP付与端末

□　他部門管理内のためシステム部で把握していないグローバルIP付与端末が存在しないこと。
□　試験利用暫定環境という名目でシステム部門が把握していない例外グローバルIP付与端末は存在しないこと。
□　他部門が独自に契約しシステム部門が把握していないクラウドサービスやクラウド環境が存在しないこと。
□　システム管理部門が把握していないグローバルIP付与IoT端末（ウェブカメラなど）が存在しないこと。
□　グローバルIP付与端末に使用しているOSやミドルウェアやアプリケーションに把握漏れはないこと。（セキュリティパッチはミドルウェアやアプリケーションも対象となるため）
□　グローバルIP付与端末に対して、本来行うべき定期パッチ確認作業が、優先度が下がり後回しになったまま放置されていないような運用となっていること。
□　担当者によってサーバ機器のパッチ更新設定がいつの間にか無効化されない対策が設定されていること。（パッチを適用すると不具合の可能性があるため暫定的に無効にしたまま放置されるなど）

チェック 1-2：インターネット接続PC

□　セキュリティパッチやアンチウイルス対策が不十分な個人端末（PCやスマホ）が社内に接続されないよう（社内への端末持ち込みとリモートアクセスの両方）どのような対策がとられていること。
□　海外事業所、関連会社などのPC端末などで、システム部門が把握していないPC端末で、業務システムに接続できる端末は存在しないこと。
□　一般的なクラウドサービスのように世界中どのPC端末からでも接続できるサービスは存在しないこと。
□　ユーザによってPC端末のパッチ設定がいつの間にか無効化されないような対策が設定されていること。（セキュリティアップデートが走るとPCが遅くなるため手動で無効化したまま放置されるなど）

チェック 1-3：ADサーバ

□　ADサーバは重要なセキュリティパッチは速やかに適用される運用となっていること。

まとめ

・グローバルIP付与端末機器、インターネット接続可業務パソコン、ADサーバは優先的に重要なパッチを適用すること。
・「適用されている端末がある」ではなく「適用されていない端末がない」という視点でリストアップすること。