セキュリティパッチを管理するために検討すべきこととは？

運用管理

2018.02.26

はじめに

本記事をご覧いただいている皆様の職場では、OSや各アプリケーションのセキュリティパッチの適用をどのように管理されておりますでしょうか？

IPA、JPCERT/CCが共同で運営している「日本脆弱性対策情報データベースJVN iPedia」によると、2017年は過去最多の13,792件の脆弱性対策情報が登録されたとのレポートがあることから、今後も引き続き多くの脆弱性が報告され、セキュリティパッチの適用などの適切な対応が求められると予想されます。

今回の記事では、セキュリティパッチの管理を検討する情報システム部門のご担当者向けに、セキュリティパッチを管理するために検討すべきポイントについてご紹介します。

セキュリティパッチとは？
なぜ、セキュリティパッチの適用が必要なのか？
脆弱性の情報をタイムリーに知るには？
どんなアプリケーションが攻撃対象となりやすいのか？
セキュリティパッチをどう管理すべきか？
セキュリティパッチ管理製品を選ぶときのポイント
セキュリティパッチ管理をもっと簡単にするには？
まとめ

セキュリティパッチとは？

セキュリティパッチとは、OSやアプリケーションに脆弱性や問題点などが発見された際に、それらの脆弱性や問題点を修正するためのプログラムのことを言います。セキュリティ更新プログラムや修正プログラムと言われることもあります。

なぜ、セキュリティパッチの適用が必要なのか？

ゼロデイ攻撃対策などが叫ばれていますが、現在でも一番多いのは既知の脆弱性に対する攻撃です。そのため、まず既知の脆弱性に対応することが、不正アクセスやマルウェアの被害を減らす一番の近道です。

そして、既知の脆弱性に対応する上で、一番重要なものがセキュリティパッチの適用です。セキュリティパッチをPCなどの端末に適用せずに脆弱性を放置していると、昨今の脅威であるランサムウェア（データを暗号化して身代金を要求するソフトウェア）を始めとするマルウェア感染などの攻撃に悪用され、マルウェア感染拡大や機密情報の漏えいやデータ損失に繋がる恐れがあります。

そのため、情報セキュリティ部門の担当者は、社内で管理しているPC・サーバー・ネットワーク機器などのシステムに対して、脆弱性がないか、セキュリティパッチがリリースされていないかを定期的に確認し、未適用のセキュリティパッチがある場合には、速やかにセキュリティパッチの適用を実施する必要があります。

2017年に大きなニュースとなりました「Petya」や「WannaCry」は、WindowsのSever Message Block（SMB）の脆弱性を悪用する「エターナルブルー」という脆弱性攻撃プログラムによってネットワーク経由の感染を拡大させています。

脆弱性の情報をタイムリーに知るには？

セキュリティパッチを適用する必要性はお分かりいただいても、脆弱性の情報を入手しない限り、以後の対応ができません。

Windows OSやMicrosoft Officeであれば月次のセキュリティ更新プログラムを適用するような運用でよいと思います。しかし、他のアプリケーションも含めて、即日セキュリティパッチを適用したほうがよい緊急度の高いものが含まれることもしばしばあります。

そのため、セキュリティ脆弱性を知る経路をいくつか確保しておくと良いと考えます。セキュリティ情報を配信している企業・団体のRSSやメールマガジンに登録しておくことでセキュリティ脆弱性の情報に関してタイムリーに知ることができます。以下が全てではありませんが、参考にしてください。

Japan Vulnerability NotesのRSSを利用する
JPCERT/CCが提供するメールマガジンを購読する
脆弱性診断サービスを導入し、脆弱性を検出する
導入している製品ベンダーのメールマガジンを購読する
IT系ニュースサイトを定期的にチェックする

どんなアプリケーションが攻撃対象となりやすいのか？

マルウェアを作成する攻撃者は、1つのマルウェアでより多くのPCに感染させたいと考えるため、以下にあるように多くのPCにインストールされていて、且つインターネットにアクセスすることが多いアプリケーションが攻撃対象となりやすいです。

攻撃対象となりやすいアプリケーション

Windows OS
Microsoft Office
Adobe Reader（PDFファイルを閲覧するビューアー）
Adobe Flash（動的なサイトを表示するためのソフトウェア）
Webブラウザ（Google Chrome/Mozilla Firefoxなど）
Oracle Java

そのため、これからセキュリティパッチの管理をしていこうと検討する場合は、優先的にこれらのアプリケーションのセキュリティパッチをどう管理していくか決めていくと効率的です。その他のアプリケーションについては、事前の検証有無などを加味して、適用ルールを策定すると良いでしょう。

セキュリティパッチをどう管理すべきか？

では、実際にセキュリティパッチを管理するには、どうすればよいでしょうか？PCの用途、企業規模、インストールされているアプリケーションなどによって、管理方法は異なると思いますが、大筋以下の流れになると考えます。

使用されているアプリケーションを調査する
未使用または業務に必要のないアプリケーションを追加しない/削除する
現状適用されているセキュリティパッチ・バージョンを定期的に確認する
セキュリティパッチを適用できないものは、別途リストアップする
セキュリティリスクの高いアプリケーションから適用ルールを決める
事前に検証する必要があるものは、個別で適用を承認する
緊急度の高い脆弱性が報告された場合は、都度対応を協議する
セキュリティパッチの管理をユーザー任せにせず、管理者が実施する

セキュリティパッチ管理製品を選ぶときのポイント

セキュリティパッチを管理する場合、マイクロソフト社が提供するWSUS（Windows Server Update Services）や、資産管理ツールのセキュリティパッチ管理機能を使用したりすることが多いのではないでしょうか？

本章では、セキュリティパッチ管理製品を選ぶ際にどんな点に着目すればよいのかをご紹介します。ご参考になれば幸いです。

インストールされているアプリケーションが全て分かること
まずは、企業内にどんなアプリケーションがインストールされているか現状を把握することが肝要です。
セキュリティパッチ/アプリケーションがアンインストールできること
未使用または業務に必要ないアプリケーションはライセンスコンプライアンス上問題になるだけでなく、脆弱性を放置するリスクもあります。リモートよりアンインストール指示ができると非常に便利です。
適用されているセキュリティパッチの情報がタイムリーに分かること
セキュリティパッチが正しく適用されているか、適用されていないPCが残っていないかなどを調べるためには、該当するセキュリティパッチが適用されているか確認できる必要があります。
適用したくないセキュリティパッチを一定条件で指定できること
セキュリティパッチを適用してしまうと、動作に不具合が生じたり、サポートが受けられなくなったりすることがあります。該当するセキュリティパッチのみを特定条件下でのみ適用しないことが実現できるものが望ましいです。
すぐにセキュリティパッチが適用できること
深刻な脆弱性が発見された場合、速やかにセキュリティパッチを適用する必要があります。そのため、すぐにセキュリティパッチが適用できる機能が必要となります。
サードパーティー製アプリケーションも管理できること
Windows OSやMicrosoft Office以外のサードパーティー製アプリケーションもマルウェアからの攻撃対象となることが多いため、サードパーティー製アプリケーションも管理できることが望ましいです。
ネットワーク負荷を軽減できること
セキュリティパッチの中にはファイルサイズが大きいものがあります。1台1台個別にインターネットに直接セキュリティパッチをダウンロードするとネットワーク負荷が高くなり、業務に支障をきたす可能性があります。インターネットへのネットワーク負荷を軽減できる配信方法だったり、帯域制御ができたりすると良いです。
適用ルールを決めて、自動的に運用できること

セキュリティパッチによっては、全体のPCに適用する前に、動作検証が必要なケースがあります。また、特定の条件に合致するグループにはセキュリティパッチを適用しない等の管理が必要です。それをルール化することで、セキュリティパッチの管理をある程度自動化することができます。こういった機能があると便利です。

セキュリティパッチ管理をもっと簡単にするには？

少し話はそれますが、「アプリケーション仮想化」技術を採用することにより、セキュリティパッチ管理やライセンス管理等の管理工数を軽減することができます。

一般的によく知られている「デスクトップ仮想化」は、クラウドやデータセンターにある仮想OSに接続し、デスクトップ画面を表示させますが、アプリケーション仮想化は、デスクトップ画面の代わりにアプリケーション画面のみを手元のPC上に表示させるものです。

そのため、サーバー上のアプリケーションをアップデートして、新しく公開すれば、このサーバーに接続するすべてのPCは脆弱性のないアプリケーションを即時使うことができます。これまで、仮想化技術は情報漏えい対策の観点から大企業を中心に導入が進んできましたが、「ひとり情シス」が増えてきている中堅・中小企業においては、情報漏えい対策の観点だけではなく、情報システム担当者の運用負荷を軽減する観点でも、アプリケーション仮想化が進んでくると考えています。