ある製品にぜい弱性が発見され,対応するパッチが発表された際に,その製品を使っているからと言って,必ず適用しなければいけないものなのだろうか。ベンダーは,パッチの配布に当たって事前に検証を行っているはずだが,ハードウエア,OSのバージョン,インストールされているソフトウエアのバージョンと組み合わせ,ハードウエアの種類など,千差万別のユーザーの環境に対応したすべての組み合わせを想定して,検証を行なうことは困難である。このため,パッチを適用した場合に何らかの問題が発生する可能性も考えられるので,適用しなくてもよいパッチは,できるだけ適用したくないという思いもあるだろう。
ベンダーがパッチを提供する場合,パッチを適用すべき製品に関する条件,例えばバージョンや,追加モジュールの有無などの情報が提供されるが,逆にパッチを適用しなくてもよい条件が提供される場合もある。
例えばMicrosoftでは,セキュリティ情報を提供する際に「問題を緩和する要素」の情報が共に提供される。これらの情報を基に,それぞれのシステムの特性を考慮し,パッチを適用するか否かを判断することになる。
例えばそのぜい弱性が,あるOSに対して追加でインストールされるモジュールに存在するものであった場合,そのモジュールをOSにインストールしていなければ,パッチを適用する必要はないという判断もあり得る。また,ぜい弱性が特定のポートを通してインターネット側からの攻撃を受けてしまうものであった場合,例えばファイアウォールによってそのポートが閉じられたネットワークの内側で稼働しているのであれば,パッチを適用しないという対応も可能と考えられる。
ただし,「パッチを適用しない」という判断は,あくまで緊急避難的な対応である。「セキュリティ・ホールが残った状態で存在している」場合もあることは,強く意識しておくべきだ。
今回発表されたセキュリティ・パッチが対応するぜい弱性は,主にサーバーに用いられるwindows OSの特定の製品を,通常の手順でインストールした場合でも存在するものだった。我々が運用しているサーバーでも,この製品が稼働していたため,パッチの適用対象となった。
また,Microsoftが発表した情報によると,そのぜい弱性を利用した攻撃は,Webサーバーとブラウザとの間の通信では一般的に用いられる,TCP 80番ポートが使われるとのことである。我々が運用を担当していたシステムは,一般的なWebサーバーを含むため,Webサーバーとインターネットの間に設置されたファイアウォールではTCP 80番ポートを開放している。従って,この点でも適用対象とせざるを得ないようだった。
さらに悪いことに,そのぜい弱性を利用した攻撃用のコードが既に出現している可能性があるという情報もセキュリティ関係の団体から発表されていた。いわゆるゼロデイアタックが成立する可能性のある状況だった。
以上を考慮し,我々のチームは,緊急のパッチ適用やむ無しの結論に至った。
パッチが出たらすぐに当てなければいけないか
使用している製品のバージョンやそのほかの環境が,運悪くパッチの適用基準に合致してしまった場合,急いで適用しなくてはいけないだろうか。今回,我々が適用を決めたパッチは,そのぜい弱性を突いた攻撃の影響が大きく,またその攻撃を実現するためのコードが既に存在しているという状況だったが,すべてのぜい弱性においてそのような状況に直面するわけではない。
例えば,そのぜい弱性を突いた攻撃を行うには,管理者権限でローカルからログインする必要があるという場合には,管理者権限の運用状況を確認し,運用上の対応でとりあえず回避する方法もあるだろう。また,攻撃を成立させるために,膨大な計算が必要な場合(例えば現時点で最高性能の計算機を使用しても何百年の時間を必要する)など,時間的な猶予があると考えられる場合もある。このような場合には,例えば数カ月先のシステム更新作業と同時に実施することで,じっくりと時間をかけてパッチの検証を行うなどの対応も考えられる。
一方,パッチを早期に適用することが外部要因で制約されてしまう場合もある。例えば,クレジットカード情報を取り扱うシステムのセキュリティ要件を規定した,PCI DSS(Payment Card Industry Data Security Standard:PCIデータセキュリティ基準)では,重要なセキュリティ・パッチは,リリース後1カ月以内に適用することが求められている。このように,パッチの適用タイミングについても状況を考慮して,最適な結論を導くことが必要となる。
次回は,パッチ適用の機能検証について説明していく。
ネットワンシステムズ 営業推進グループ ソリューション本部 第3ソリューション部 副部長
