企業のソフトウェア脆弱性管理の悩みを解決するためのガイド「企業におけるパッチ管理計画ガイド」を紹介します。(前編)
企業では、さまざまなソフトウェアを利用して社内の業務改善や、社外に向けてサービスの提供するなど、企業活動とソフトウェアの利用は切っても切れない関係になりました。利用しているソフトウェアの脆弱性情報が公開されると、社内で利用しているソフトウェアにパッチを適用するなどの作業が必要となりますが簡単ではありません。そんな悩みの解決策になるかもしれない「Guide to Enterprise Patch Management Planning」(企業におけるパッチ管理計画ガイド、とします)が NIST から公開されているので、紹介します。
NIST とは?
正式名称は、National Institute of Standards and Technology で、日本では米国国立標準技術研究所と呼ばれています。さまざまな技術に関する標準を研究し、米国の産業競争力を促進させることが目的。SP800 シリーズは、コンピュータのセキュリティに関連する文書となっています。
SP800-40
OS、ソフトウェアのパッチの適用漏れをなくすべく、企業におけるパッチの適用ポリシーや、プロセスを策定するためのガイド。2022年4月に Revision 4 が公開されました。
概要
このガイドでは、パッチの適用が重要な問題であることを示し、パッチを適用する場合の標準的な手順を示しています。しかし、このようなパッチの適用は、必ずしもうまくいっていません。うまくいっていない原因を明らかにし、パッチを管理し、計画を立て、迅速にトラブルなくパッチを適用するための「パッチ管理計画」を策定することを説いています。それでは、ガイドの内容について確認していきましょう。
脆弱性管理 ライフサイクル
企業が、ソフトウェアに関する脆弱性情報を入手した場合、通常、以下のステップに従ってパッチを適用していると思います。
発見された脆弱性が、自社に影響するか確認
パッチをあてる計画を立案
実際にパッチをあてる
パッチの適用手順
準備
パッチを入手する(例:ダウンロードサイトからダウンロード)
パッチを検証する(例:ハッシュ値でパッチの正当性を確認)
パッチのテストをする(例:テスト環境にあてて、動作確認)
パッチをあてる
ベンダーの手順に従って、パッチを適用する
パッチが当たっているか確認する
例:バージョン番号の確認、エクスプロイトを実行してみるなど
継続的にモニタリングする
定期的にバージョンを確認するなど
脆弱性管理の問題点
ただ、多くの企業でパッチ適用業務はうまく回っていません。なぜなら、パッチを適用すべきソフトウェアの数が多くなってきており、パッチの配布・適用方法も多様になっています。また、ビジネス部門の理解も得にくい状況です。例えば、パッチを適用するために必要なダウンタイムは、機会損失が発生します。パッチを適用しないことのリスクに対する理解が不十分であったり、パッチを適用したことによって、過去システムが停止してしまった、などの苦い思い出があった場合は、特にパッチ適用の理解が得られにくくなります。現状の運用は、とくかくパッチを適用して、たまに痛い目をみる。もしくは、重要なパッチに絞ってのみパッチを適用する(だが重要なパッチの判断は困難)、という運用になっているのではないでしょうか?
パッチ適用プロセスの理想
パッチ適用によるトラブルは自社でコントロール可能な事象ですが(適用するシステム・時間帯を決めることが可能なので、メンバーが待機できる)、パッチ不適用によるインシデントの発生は、コントロールできない問題に発展してしまいます(いつ発生するかわからない)。
そのため、パッチ適用によるトラブルをうまくコントロールしながら、ビジネス部門と協調し、パッチの適用に関する事前計画を立てる「企業におけるパッチ管理計画」の策定が解決策となる、とガイドでは説いています。
まとめ
NIST
米国で技術標準を作っている組織。SP800シリーズでセキュリティに関するガイドラインなどが公開されている。
パッチの適用
ダウンタイムや、パッチ適用に伴うトラブルのリスクがありビジネス部門の理解が得にくい
しかし、適用せずに、自社でコントロールできないインシデント対応が発生するリスクを考えるとパッチを迅速に適用することが望ましい
パッチ マネジメント 計画
パッチ マネジメント 計画を立てることで、ビジネス部門の理解を得つつ、パッチを迅速に適用するプロセスを構築できる
さて、皆様の企業では、パッチの適用は、うまく回っているでしょうか?もし、悩んでおられるようでしたら、次回、後編にご期待ください。
後編はこちら↓
サイボウズのセキュリティ室は、今後も企業のセキュリティ組織に役立つガイドラインや、書籍の紹介記事を掲載していきます。この記事がよかった、参考になったと思われた方は「スキ」のクリックをお願いします。また、セキュリティ室の取り組みや、セキュリティニュース、サイボウズに受信した怪しいメールなどの情報をツイートしています。@CybozuSecurity のフォローもお願いいたします。
この記事が気に入ったらサポートをしてみませんか?