脆弱性を適切に修正するためのパッチマネジメント。サイバー攻撃対策として基本中の基本だが簡単な作業ではない。パッチ適用による悪影響を最小限に抑える慎重さと入念さが求められる。パッチの無い脆弱性の回避策も含め、日ごろの準備が欠かせない。
今回から2回に分けて、企業や団体がパッチファイルを適切な頻度や手順で修正するための「パッチマネジメント」を解説します。サイバー攻撃の多くはソフトウエア製品の脆弱性を悪用してきます。脆弱性を修正するために開発元が作るプログラムをパッチと呼びます。
パッチマネジメントは最も基本的なセキュリティ管理の一つです。パッチマネジメントに不備があると、セキュリティの取り組みそのものの姿勢を問われかねません。
情報漏洩などのセキュリティ事故(インシデント)を起こした際、原因となった脆弱性を放置していたと分かったらどうでしょうか。安全なサービスを提供する上で「やって当たり前」の事前対応を怠っていたとして、社会的な責任を問われてもおかしくないでしょう。筆者の経験上、成熟したITサービスを提供する組織ほど、パッチマネジメントのような日常のセキュリティ維持活動を品質高く実施している傾向があります。
前編である今回はパッチマネジメントを進める際の重要な考慮点を解説し、後編の次回でパッチマネジメントの運用基盤を構築・運用するポイントを詳解します。
