パッチ適用の間隔|セキュリティ|ブログ|Computerworld

読者の皆様

お待たせしました、名古屋で黄色いのぞみを見た蔵本です。
黄色いのぞみは、のぞみ点検車両のようで、見ると幸せになるとのお話を聞きました。
と、言う事で幸せいっぱいです。今年は宝くじを買ってみようかと思っております。

本日は、セキュリティ対策に欠かせないパッチ適用における間隔についてお話します。

よく、お客様から「パッチって公開されてからどれぐらいの周期で当てればいいの？」とご質問を頂戴します。
セキュリティレベルだけを考えた場合、公開されたら、もう今すぐにでも当てて頂いた方がもちろん無難です。

パッチは公開すると、悪意のある第三者の逆アセンブルを受け、悪意のあるコード作成に利用される事がありますので、この事から考えても、適用までの時間は短ければ短いほど良いという事になります。

ただ、企業環境の場合、なかなかこうもいきません。
基幹系システム等のミッションクリティカルなシステムに、何の検証もなしに、いきなり適用される方はいないと思います。

多くの場合、企業におけるパッチ適用までの流れは下記のようになります。

1.パッチが公開される
↓
2.自社のシステムで適用する必要性のあるパッチを特定する
↓
3.パッチ適用に関する検証
↓
4.本番へ適用

上記1.～4.をどれぐらいで完了すれば良いか、というのが本日のお話なのですが、多くの企業では、１ヶ月サイクルで実施されているようです。
実は、上記フローは、2.で必要と判断されるパッチの個数で工数が大きく変わってきます。要は、10個当てなければいけないのか、1個当てるだけで良いのかということなのですが、サーバーの場合、ハーデニングによるサービスのロックダウンや、ネットワークのゾーンニングを実施しているかどうかで個数が変わってきます。

例えば、Webサーバーとして運用している場合で考えてみましょう。
サービス全部稼働でネットワーク全通しのツーツーの場合、影響を受けるサービスが多いため、やはり適用の個数は増えますが、Web サービスを提供するための必要最小限のサービスや、80/tcpや443/tcp等必要最小限のポートだけを許可している場合、影響を受けるサービスの個数自体が減るので、適用の必要性のあるパッチも個数も減ります。

最初の一歩である、ハーデニングやゾーンニングは確かに手間もかかりますが、一回やってしまえば、継続的に短期間での変更が求められるような事項ではありませんので、後々の運用管理工数を考えると、非常に効果があると言えます。

また、近年のウイルスは、脆弱性の判明から発生までの時間がどんどん短くなってきており、上記のフローを短い時間で回したとしても、どうしても無防備な時間ができてしまいます。

そこで、近年では、IDS/IPSを併用する事で、パッチ適用までのラグをカバーしつつ、上記のサイクルを回すといった運用が一般的になってきております。
どうしてもパッチを適用できないシステムについては、ハーデニング、ゾーンニング、IDS/IPSでのリスク低減を行うパターンもありますが、強度という意味ではやはりパッチを当てて頂くほうが強固ではあります。(読者の皆様には釈迦に説法ですねｗ)

皆様もパッチ適用をうまくこなし、安全な仕事を実現しましょう！