セキュリティパッチとは?
なぜ重要なのか、どう管理すればいいのか
セキュリティパッチとは、すでに公開されたソフトウェアで新たに発見された脆弱性や問題点を解決するための修正プログラムです。セキュリティパッチがなければ、発見された脆弱性はそのまま残され、大きなリスクが残された状態になります。企業においても、業務に利用している端末ではセキュリティパッチをきちんと管理し、新しいプログラムを速やかに適用することが重要です。
ここでは、セキュリティパッチを管理する必要性や適切な運用方法について説明します。
セキュリティパッチとは
すでに公開されたソフトウェアでも、あとから脆弱性や不具合、問題点が発見されることはよくあります。これを修正するため、ベンダーが既存ユーザー向けに提供するのがセキュリティパッチです。修正プログラムとも言います。パッチ(Patch)とはもともと布切れのことで、セキュリティホールの穴をふさぐための布というイメージです。
最も有名なセキュリティパッチは、毎月中旬に更新されているWindowsの「セキュリティ更新プログラム(Windows Update)」でしょう。Microsoftが公式にWindowsの修正プログラムを提供しており、不具合の解消やセキュリティホールの修復を行っています。更新漏れがないように初期設定では自動的に実行されているので、多くのユーザーになじみがあるでしょう。
Microsoft Officeやその他のアプリケーションでも、必要に応じてセキュリティパッチが配布されています。
セキュリティパッチがあるのはPCだけではありません。スマートフォン用OSやサーバー用OSでも定期的にセキュリティ更新プログラムが提供されています。
なぜセキュリティパッチを管理する必要があるのか
企業の業務用PCでは、情報システム部門がセキュリティパッチを管理・更新します。そこには、次のような目的があります。
セキュリティパッチを管理する目的
- セキュリティホールの修正
既知の脆弱性を解消します。セキュリティパッチを適用しないと、脆弱性が残ったままになるためです。
- システムの不具合への対処
既存の不具合を修正します。不具合が残ったままでは障害が起きたり、そこがセキュリティホールになったりするためです。
- セキュリティ対策の均一化
企業で多数の業務用PCを使っている場合は、セキュリティ対策は情報システム部門が一括管理します。それぞれのユーザー(一般社員)に任せると、セキュリティ対策のレベルにばらつきが生じてしまうためです。
それではセキュリティを管理しにくくなったり、対策できていないPCに脆弱性が残ってサイバー攻撃の対象になったりすることもあります。そこからセキュリティ上のトラブルが発生した場合、原因を分析するのは容易ではありません。
また多くの場合、ユーザーである社員のITリテラシーのレベルにもばらつきがあります。そのため、セキュリティパッチの適用をユーザーだけに任せることはできません。
セキュリティパッチを適用しないとどうなるのか
セキュリティパッチを適用しなければ、OSやアプリケーションの脆弱性や不具合を放置し、問題のある状態のままにすることになってしまいます。その状態では、不正アクセスやマルウェア感染などのサイバー攻撃を受けた場合、すぐに対処ができません。
それによって起きる、情報資産の漏えい、情報の改ざん、システムダウンなどのサイバー攻撃によるトラブルが防げなくなってしまいます。
情報資産については、詳しくは「情報資産とはどこまで含む?適切な管理とセキュリティ対策とは」を参考にしてください。
企業のセキュリティパッチ運用管理の注意点
情報システム部門がセキュリティパッチを運用管理するときには、次のようなことに注意が必要です。
- 情報をこまめにチェックする
セキュリティパッチに関する情報は、不定期に発信されます。多くは、セキュリティホールが発見されてからの対応になるからです。むしろ定期的に更新する企業の方が少ないでしょう。
そのため、自社で使用しているデバイスやソフトウェアのベンダーについては、自主的にこまめに情報収集を行う必要があります。
- 信頼できる情報を参考にする
セキュリティに関する情報は、信頼できるサイトから集めましょう。次のようなサイトが参考になります。
・ベンダーの公式情報
・脆弱性に関する情報を集めたWebサイト(IPA、JVNなど)
→ IPA(独立行政法人 情報処理推進機構)はこちら
→ JVN(Japan Vulnerability Notes)はこちら
- セキュリティパッチは速やかに適用する
セキュリティパッチが公式サイトから提供されたら、できるだけ速やかに適用しましょう。
作業を行うのは情報システム部門です。どの部署の端末からどのような流れで行うかの計画を立て、スケジュールに従って更新を行います。
- できれば予備PCで動作確認する
OSのセキュリティパッチを適用すると、ほかのプログラムの動作が不安定になることがあります。また、アプリケーションによっては、セキュリティパッチを適用すると設定が初期化されるものもあります。
そのため、一度予備のPCで動作確認をしてから実際に業務で利用しているPCに適用すればより安心です。
- 業務利用のPCすべてに適用する
業務に利用しているPCには、すべて同じようにセキュリティパッチを適用します。企業側が貸与しているPCだけでなく、社員の私物、いわゆるシャドーITでも、セキュリティパッチがきちんと適用されているか管理することが必要です。
シャドーITについて、詳しくは「シャドーITはなぜ発生する?情報システム部門はどう対策すればよいのか」を参考にしてください。
- 情報システム部門が一括して適用作業を行う
セキュリティパッチの適用は、すべての端末で漏れなく行わなくてはなりません。そのため、ユーザーである社員には任せず、情報システム部門が一括して行います。しかし、情報システム部門がすべての端末を操作して適用作業を行うのは大変です。
その場合は、IT資産管理ツール、サイバーハイジーンをサポートするツールを導入するとよいでしょう。セキュリティパッチの適用も自動化でき、負担を大幅に軽減できます。
IT資産管理について、詳しくは「IT資産管理とは?IT資産の適切な管理はセキュリティ強化にもつながる」を参考にしてください。
セキュリティパッチで防げないサイバー攻撃もある
セキュリティパッチは万能ではありません。それでも防げないサイバー攻撃もあります。その代表が「ゼロデイ攻撃」です。これはセキュリティパッチがまだ存在しない時点での脆弱性を突いた攻撃で、新しいセキュリティパッチが提供されるまで防ぐことはできません。
ゼロデイ攻撃を防ぐには、不審なメールの添付ファイルを開かない、不審なメールに記載されたURLをクリックしないなど、ユーザーのITリテラシーの向上が必要です。
また、セキュリティパッチの速やかな適用やエンドポイントのモニタリングによって、ゼロデイ攻撃の被害を最小限に抑えることができます。そのためには、平時からサイバーハイジーンを心がけることが欠かせません。
エンドポイントを総合的に管理するツールを導入すると、サイバーハイジーンを含めてサポート可能です。
まとめ:セキュリティパッチの適用は面倒だが忘れずに行おう
PCを使っていれば、セキュリティパッチの適用をしたことのないユーザーはいないでしょう。個人用PCでも必ず行うものですが、業務で使用するPCではさらに重要です。脆弱性をなくすことは、不正アクセスや情報漏えいを防ぐために欠かせません。
しかし、セキュリティパッチがいつ提供されるのか、自分の使っているPCが最新の状態なのかなどを管理するのは面倒なものです。業務用PCであれば、情報システム部門が管理ツールを使って一括管理する方が効率的でしょう。
タニウムでは、トータルにエンドポイントセキュリティを実現するプラットフォームを提供しています。サイバーハイジーンを実現し、セキュリティパッチの運用管理を容易に行うことができます。
