組織内のコンピューターにパッチをあてることはセキュリティの基本であるが、意外にもこのことは十分に遂行されていない。この問題を解決するには、セキュリティ関連の人員を増強するというよりも、社内手順を効率化し、自動化への依存度を高め、スタッフの負担を軽減することである。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
システムへのソフトウェアパッチ適用に関して、組織は迅速に行動する必要がある。このことは、広く認められている事実であろう。「ワナクリプター」(WannaCryptor)の流行やエキファックス(Equifax)によるセキュリティ侵害など、近年に見られる悪名高いインシデントをみると、ソフトウェアの脆弱性をタイムリーに修正できないことの危険性は、だれの目にも明らかだからである。
ポネモン研究所(Ponemon Institute)と企業向けITクラウドサービス会社であるサービスナウ(ServiceNow)社がまとめた調査結果は、パッチ適用問題の現状を明らかにしている。「今日の脆弱性対応状況――パッチ適用業務に注目せよ」と題されたレポートは、世界中の3,000人のサイバーセキュリティ専門家とのインタビューにより裏付けられたものである。その結果、約半数の組織(48%)が過去2年間に少なくとも1件のデータ侵害を受けていた。データ侵害を受けた企業の多く(57%)は、発生したインシデントの原因が、その時点でパッチが入手可能であった脆弱性に対し、パッチを適用できなかったことにあるとしている。さらに、セキュリティ侵害を受けた組織の3分の1は、実際に脆弱であることを知っていたという。実際、継続的にソフトウェアのセキュリティホールを埋めていくことにより、多くの攻撃を途中で止めることができたはずである。
別の観点から見ると、当レポートに記載されている通り、ニュースのトップを飾るような情報漏えいは結局のところ「氷山の一角」にすぎないのである。攻撃者が脆弱性を突く前に、それをふさぐべく、企業はより効果的な脆弱性対策をしておく必要があるということは、あまりにも自明なことである。さらに言えば、攻撃の量とその深刻度は高まる傾向にあり、それぞれ15%、23%上昇しているという事態も、この調査結果は浮き彫りにしている。
パッチ適用は命運を左右する
では、ますます複雑化するビジネスやIT環境において、企業はいかにしてパッチをあて続けていけばよいのだろうか。確かに、潜在的な落とし穴が多数ある複雑なタスクを伴う質問に対する簡単な回答は存在しない。しかし、データ侵害を回避した組織からの回答とその特性を踏まえて、この報告書は事の真相をいくつか明らかにするとともに、どういう対策をとれば良いのか、最善のアプローチについて示唆を与えている。
以下では、もう少し統計情報に目を向けてみよう。
- 組織は、脆弱性対策を行うにあたり、1週間に平均321時間、すなわちフルタイムの従業員約8名のリソースを費やしている
- 組織の約3分の2(64%)は、翌年に脆弱性対策に専念するスタッフの増員を計画していると回答した。これは平均して4人のスタッフ増員、すなわち50%の増員に相当する。
サイバーセキュリティ人材が不足している現状に鑑みると、それを言うのは簡単でも実現するのは難しいだろう。それでも、当研究は、より多くの従業員を雇用するだけではセキュリティ向上にはつながらないという「セキュリティのパッチ適用パラドックス」と呼ばれる重要なポイントの1つに言及している。
報告書によると、パッチ適用の問題の要点は他の部分にある。もう少し統計情報を見ていくことで、この要点を理解しやすいようにしておこう。
- 多くの回答者(55%)は、脆弱性に実際に対応する以前にマニュアルの手順通りに進めることに、より多くの時間がかかっていると述べている
- 多くの回答者(61%)は、脆弱性にパッチを当てる際には、マニュアルの手順通りに進めなければならないことが不便であると感じている
- これまでにパッチをあててきたそれぞれの脆弱性について、手動でチーム間の調整をするのに平均で12日を要している
- 回答者の3分の2(65%)は、どのセキュリティホールを最初にふさぐべきかをとっさに判断し、そしてその結果として何が生じるのかを予見することが困難であると感じている
パッチ対応の難しさ
要約すると、各組織は効率の悪いマニュアル手順のせいで尻込みしており、緊急にパッチ適用しなければならない場合に、効果的に優先順位を決めるのが困難な状況にある、ということになる。また、この調査から見えてきたもう1つの発見があり、これがまた、悩みの種となっている。回答者の半数(53%)は、パッチ適用のリードタイム(パッチ公開と攻撃の間の時間)が過去2年間で平均29%減少していると回答しているのである。
パッチ適用においては、スピードは最重要項目の1つである。なぜなら、過去2年間にセキュリティ侵害を回避した組織は、脆弱性を迅速に検出する能力と、脆弱性をタイムリーに修正する能力と有している点で優れているからである。
スキルのギャップを考えると、組織は日常的な脆弱性対策の手順を自動化し、内部プロセスとデータ障壁を除去して、パッチ適用プロセスを合理化し、迅速化する必要がある。それらの組織はシステムとネットワークをスキャンして脆弱性を見つけ出し、ふさぐ必要があるセキュリティホールを確認する必要がある。セキュリティ侵害の被害者の37%は、こうしたスキャンを実行したことすらないと回答している。脆弱性の優先順位付けも不可欠であり、スキャナーや「共通脆弱性評価システム」(CVSS)のスコアに基づいて、また、影響を受けるシステムの重要性に基づいて、脆弱性の深刻度を検討する必要がある。
結局のところ、この調査が推奨しているのは、組織は希少な才能を新たに求める代わりに、社内手順を効率化し、自動化への依存度を高め、スタッフの負担を軽減していくべきであるということである。
