増谷 洋 NRIセキュアテクノロジーズ事業開発部長
岡 博文 NRIセキュアテクノロジーズ事業開発部セキュリティエンジニア
管理者にとって,パッチの適用は企業ネットを守るために欠かせない対策です。しかし,管理者がパッチの適用を終えるまでに与えられた時間はますます減っているのが現状。そのため,従来以上にパッチ管理プロセスの効率化が求められています。
システムが持つぜい弱性情報が公開されてから攻撃に至るまでの期間が短くなっています(図1[拡大表示])。例えば,Sadmindというウイルスが利用したぜい弱性は1999年12月に公開されており,攻撃が始まるまでに18カ月を要していました。しかしSasserというウイルスの場合は,利用したぜい弱性は2004年4月に公開されたもので,攻撃が始まるまで2週間しかかかっていません。最近は攻撃者がぜい弱性を発見するとすばやく攻撃を展開するため,ぜい弱性を修正しなければならないソフトウエア・ベンダーの対応が後手に回る現象も見られます。これが「ゼロデイ・アタック」と呼ばれる現象です。
ぜい弱性を悪用したワームが社内にまん延するのは,必ずしもパッチ対応の不手際に原因があるとは限りません。それでも迅速にパッチを適用していくことが,管理者が取り得る最大の防御であることに違いありません。
パッチ適用で重要なことは,パッチ管理の効率性を高めることです。公開されたパッチをやみくもに適用する方法は見直すべきでしょう。パッチ適用をシステム管理の一環として,より大きな枠組みの中で捉える必要があります。
IT資産をきちんと把握
パッチ管理に最も関係の深い作業は,「IT資産管理」と「ぜい弱性情報管理」です(図2[拡大表示])。ぜい弱性に対応する時間が十分ではない状況でパッチを適用していくには,これらの作業から得られる情報を基に,パッチを適用するシステムの優先順位を検討することが不可欠です。ぜい弱性があると判明した後に,どのシステムからパッチを適用するかの調査を開始するようではタイミングが遅いといえます。IT資産やぜい弱性情報の管理によって得られる結果から,システムの現状を常に把握し,対応方法を事前に検討しておくことが重要です。
パッチ適用の自動化ツールが効果的
図2で示した包括的なパッチ管理プロセスを実装するには,ツールを使って自動化することが効果的です。IT資産管理ツール,ぜい弱性情報管理ツール,ぜい弱性を診断・評価する「VAツール(ぜい弱性評価ツール)」,パッチ管理ツールなど,数多くの有効なツールが販売されています。
IT資産管理ツールは,システムの設定状態などを記録し,一元的に把握できるようにします。情報を含めたシステム全体の資産価値なども記録できれば,パッチ適用の優先順位を検討する判断基準として利用できます。
ぜい弱性情報管理ツールは,ぜい弱性情報警告サービスと連携し,組織内のシステムに関するぜい弱性データベースを構築します。一部のぜい弱性情報管理ツールには,VAツールなどと連携し,定期的にネットワーク内にあるシステムのぜい弱性をチェックし,組織内のシステムの状況を自動的にデータベース化してくれるものもあります。
IT資産管理ツールで「重要度」,ぜい弱性情報管理で「発生可能性」を判断した結果に応じて,リスクの高いシステムから優先的にパッチ管理ツールでパッチを適用していきます。パッチ管理ツールでは,管理者が遠隔からシステムにパッチを適用できるようになっています。その導入のメリットは,パッチの適用情報を一元管理できることでしょう。クライアント・パソコンにエージェントを使うなど方式は様々で,中にはレポート作成機能やロールバックなどの付加機能を備える製品もあります。