優先順位の付け方ーセキュリティパッチと脆弱性

どのソフトウェアのパッチを優先するかについて、その理由とともに説明します。

会社で使用している全ソフトウェアのアップデート管理は、永遠と繰り返さなければならない作業です。すべてのソフトウェアをアップデートし続けるには、リソースが不足している場合もあるでしょう。平均して、毎日見つかる数十の新しい脆弱性に対応するために、毎月数百から数千のパッチがリリースされています。

ここで問題となるのが、どのアップデートを優先する必要があるかです。その答えは実は単純ではなく、さまざまなパッチ適用の戦略があります。それぞれの企業に最適な答えを見つけるには、いくつかの事情を加味する必要があります。ここでは、脆弱性の悪用に伴う潜在的リスクを考慮したうえで、どのソフトウェアのパッチを優先的に適用すべきかについて考えられることを紹介します。

使っているシステムに脆弱性あり?

発見された脆弱性の数は、そのソフトウェアの品質にかかわると考える人もいます。単純に言えば、バグの報告が多いほどあまり良くないソフトウェアで、一方反対に少なければそのソフトウェアはすばらしいということです。このような考え方は、企業で使用するソフトウェアの選定に影響します。

しかしもちろん、これは誤解です。発見された脆弱性の数は通常、そのプログラムの品質ではなく、人気の度合いを示しています。バグはどんなものにでも見つかります。多くの場合、バグは人が探すところで見つかるものです。これまでに脆弱性が発見されていないからといって、長く忘れられているソフトウェア製品を使用して何とかやっている企業があるとしましょう。これは賢い戦略とは言えません。誰かが本気で取り組んで、あっという間に多数の脆弱性が発見されたらどうなるでしょうか。

重要なのはバグの数ではなく、脆弱性に対するパッチが公開されるまでの期間の短さと、それで本当に問題が修正されるかということです。望ましいのは、迅速に、定期的にパッチ対応が行われることです。ベンダーが何も悪いことは起きていないようなふりをして、ごくまれに散発的にパッチをリリースしているのは、憂慮すべき兆候です。そのようなソフトウェアは避ける必要があります。

ほかに望ましい特徴は、開発元がバグ報奨金プログラムを実施していることです。そのプログラムに誰でも参加できるようになっていればさらに良いでしょう。ベンダーが、バグを見つけた人を訴えると脅す事例は想像以上にたくさんあります。さらに酷いケースは、脆弱性を報告したからと報告者を起訴することもあります。

オペレーティングシステム

パッチ適用の優先順位に話を戻しましょう。明らかに優先順位が高いのは、オペレーティングシステムです。重要なOSのアップデートは、迅速にインストールする必要があります。侵害されたOSは、コンピューター上の他のソフトウェアにアクセスするための鍵となります。

Windowsを使用している場合は、少なくとも毎月第2火曜日(米国時間)に発表されるMicrosoftの更新プログラムの一覧に目を通すべきです。リストにあるパッチを速やかにインストールすることをお勧めします。同時に、最新の情報も常にチェックする必要があります。定例の日以外に公開される修正プログラムは、直ちにインストールしましょう。

ブラウザー

ブラウザーのアップデートもできる限り優先すべきです。それには明確な理由があります。第一に、近年私たちは、一日の大半をブラウザーを使用して過ごしています。第二に、ブラウザーはその性質上、インターネットとのやり取りがあり、サイバー脅威の影響を受ける最前線にあります。第三に、攻撃者はブラウザーの脆弱性を見つけるためなら力を惜しまず、発見次第、即座に悪用しようとすることも少なくありません。

ブラウザーのパッチは速やかにインストールするようにしましょう。また、アップデート後は忘れずにブラウザーを再起動しましょう。再起動するまでは、脆弱性のある以前のバージョンが引き続き使用されます。システムに複数のブラウザーがインストールされている場合があることにも留意しましょう。すべてのブラウザーを適時アップデートする必要があります。

また、複数のブラウザーに関して、いくつか注意すべき点があります。

  • Internet Explorer:ユーザーが自ら選択することは少なくなっていますが、Windowsコンピューターではまだ採用されており、適時パッチを適用する必要があります。
  • メッセンジャーをはじめとする多くのデスクトップアプリで、Electronフレームワークが使用されています。これは技術的には、WebアプリでChromiumブラウザーを開くものです。Chromiumに存在する不具合はすべてそのまま引き継がれるため、こちらも忘れずアップデートしましょう。

Officeスイート

メールで悪意のある添付ファイルを送りつける攻撃は、古くからあるサイバー犯罪の典型的な手口です。感染したファイルが使用されることが多く、特にMicrosoft OfficeやPDFのドキュメントがよく見られます。Officeスイートのプログラムが持つ脆弱性が、標的となった企業のネットワークへの侵入口となることが少なくありません。そのため、Officeソフトウェアのアップデートには目を配っておく必要があります。

多くの場合、マルウェアを含む添付ファイルが自動的に開かれることはありません。だれかがクリックして開く必要があります。そこで、従業員に対して情報セキュリティのトレーニングを実施することが重要になります。たとえば、カスペルスキーではインタラクティブなトレーニングサービス、Kaspersky Automated Security Awareness Platformを提供しています。

社内で情報セキュリティ部門との連絡手段を予め決めておくのもよいでしょう。理由は第一に、重要な脅威について従業員に注意を促して、セキュリティ意識を高めるためで、さらには、怪しいメールなど、疑わしいアクティビティについて従業員からの報告を受けるためです。

サイバーセキュリティソリューション

すでにお伝えしたとおり、脆弱性はどのソフトウェアにも見つかりうるものです。セキュリティ関連製品も例外ではありません。アンチウイルスなどの情報セキュリティアプリケーションは、効率的な動作のために多数の高度なアクセス権を必要とします。そのため、セキュリティソリューションの脆弱性が悪用されれば、非常に深刻な問題を引き起こしかねません。

セキュリティソフトウェアの開発元は、そのようなシナリオの潜在的な危険性を誰よりも理解しており、脆弱性の報告があれば即座に対応し、できる限り迅速にアップデートを公開しようとします。このようなパッチが公開された場合は、それを速やかにインストールすることが重要です。セキュリティ製品のアップデートはしっかりとチェックを続け、優先してインストールすることをお勧めします。

業務用のコラボレーションツール

ソフトウェアカテゴリーの一つで、この10年間で特に重要性が高まったものにも特別な注意が必要です。それは、Microsoft Teams、Slack、Confluenceなど、業務で使用されるコラボレーションツールです。これらのツールは、多くの企業で導入されており、業務上の通信やファイルのやり取り、オンライン会議にほぼ毎日のように使用されています。

このツールで送受信される内容には、機密情報も含まれており、サイバー犯罪者にとって魅力的な標的となるのも当然と言えます。これらのアプリは、最新のセキュリティパッチを適用して常に最新の状態を維持しておくことが重要です。

コラボレーションツールのアップデートを先延ばしにしてはならない理由が、さらにもう1つあります。コラボレーションツールでも非常によく使用されているフレームワークは、Electronですが、それが採用されているアプリはすべて、技術的にはChromiumブラウザーになっています。たとえば、TeamsとSlackのどちらも、デスクトップ版では、Electronが使用されています。Chromiumの脆弱性については、サイバー犯罪者の間でよく知られており、積極的に悪用されています。

すでに発見された脆弱性に対応するパッチが公開されるまでの間は悩ましいものですが、そのようなときにも従業員のパソコンをハッキングから守るために、会社のすべてのデバイスで信頼できる保護対策を使用しましょう。Kaspersky Endpoint Security for BusinesKaspersky Hybrid Cloud Security Enterpriseをはじめ、カスペルスキーが企業向けに提供しているさまざまなソリューションには、Kaspersky Vulnerability and Patch Managementシステムが組み込まれており、ソフトウェアアップデートの自動化や適切な優先順位付けに役立ちます。

ヒント