IT製品には脆弱性があるのは当たり前なのですが、ここ数年のサイバー攻撃の事例をでは、”パッチ当て”に何らかの問題があるケースが結構ある気がします。
techtarget.itmedia.co.jp
キタきつねの所感
企業がパッチを当てない理由。記事では事例を挙げて、以下の点を指摘しています。
「パッチを適用すると時間とコストがかかり、システムが不安定になる」という考えの下、「壊れていなければ修正しない」と判断する大企業は少なくない。
(TechTarget記事より引用)
私は「パッチを当てない」と、企業が思考停止に陥る理由は様々かと思いますが、1つには脆弱性の数が多すぎる事もあるかと思います。
IPAのデータでは、脆弱性の数はゆるやかではありますが、右肩上がりです。
www.ipa.go.jp
この結果はある妥当で、古き良き時代と比べてみると、スマホやタブレット、各種センサー、最近ではおもちゃなども含め、身の回りに”IoT製品”が溢れかえっている事を考えれば、むしろよくこの程度で抑えられていると見る事もできるかも知れません。
しかし企業側が、こうしたIoT機器の導入に比例して、パッチを当てる人を増やしているのか?と言えば、そうでも無い所が多いでしょうし、そこそこ人的リソースが割かれていたとしても、その”比例係数”は低いものであるのが実情ではないでしょうか。
脆弱性が増えていて、そのお守をする人が増えない。
あた、脆弱性対応を真面目にやればやるほど、パッチ当てに関わる大小トラブルが発生して、上長や関係先から”怒られる”。必然的に「順調に動いているものはソッとして置く」という方向に、誰もが向かったとしても、何ら不思議ではありません。
しかし最近では、ランサム被害などで事業継続にも影響を与えるインシデントも出てきている事を考えると、”パッチを当てずに放置”しておくという選択をし続けていてはいけないのだと思います。
実際に脆弱性対応をしている方から、”そんなに言うならお前がヤレ!”と言う声が聞こえてきそうです。
この手の作業の大変さを知らない訳ではありませんが、「正論」で言うならば、パッチ当てをしないリスクの方が高くなってきた事を、貴方ももっと理解すべきですし、無知な貴方の上司、関連部門に理解させようと努力しなければ、結果として誰も得をしないのかと思います。
企業のパッチ適用が遅れる理由は人材不足、互換性問題、ITインフラの複雑さと多岐にわたる。パッチ適用が遅れた結果、サイバー攻撃者がすでに悪用している脆弱性を修正できていない企業が被害に遭うことになる。
(TechTarget記事より引用)
本当に悪いのはサイバー攻撃側なのですが、色々な理由があろうとも、被害が発生した際には(何故か)矢面に立たなければならないのは、セキュリティ担当部署なのです。
最近では、例えばCVSSスコアの「Critical(緊急)」と「High(高)」の脆弱性だけを優先的に対応する・・・という手法がなかなか難しいとも良く聞きます。Middle(中)やLow(低)を除いたとしても、まだかなりの数の脆弱性が残るから、あるいは報告される脆弱性はそもそも「Critical(緊急)」と「High(高)」が多いという事もあるかも知れません。
あるいは、テスト環境が無く、本番環境を間借りしてパッチ当てをして不具合が出ないかどうかを確認しなければならない、そんな環境も多々あるかと思います。
また、最近ではクラウドサービスの利用も増え、従来と同じ手法が通じなくてパッチ適用が難しいケースも増えてきている様です。
特に現代の複雑なマルチクラウド(複数クラウドサービスの併用)におけるパッチ適用の難しさを指摘する。「理解していないものを修正するのは困難だ。最適な修正方法を実現できる簡単な正解があるとは限らない」
(TechTarget記事より引用)
色々と”パッチ適用できない”事情はあるかと思いますが、今ある課題を少しでも改善する為に何ができるか、正解は無いのですが、可能な範囲で上の方々を説得して(出来れば経営層の方を)予算や人的リソースを獲得する、そうした挑戦をし続ける事が大事なのではないかと思います。
本業のセキュリティコンサルの立場で言うと、外部を使って上層部を説得するのも有効に働く場合があるかと思います。
例えばリスクアセスメント、や脆弱性診断など、”諸般の事情”をある程度開示して頂きながら、予算を付けるための最終報告書を仕上げていく、そうしたコラボレーションのために、コンサルを活用して頂くのもアリなのではないかと思います。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
