脆弱性対応のためのパッチ適用作業は、情報システム部門やセキュリティチームにとっては悩ましい仕事です。これは、担当するチームにおいては日常業務のうちのごく一部にすぎないためです。しかしながら、年間のソフトウェア脆弱性発見は大きく増加しており、適切に対応するための負担が増えています。ランサムウェア攻撃をはじめ脆弱性を悪用する攻撃が増加していることも考えると、これまで以上に組織は脆弱性対応の方法を工夫して対応していく必要があります。本記事では、パッチ管理を取り巻く現状を確認した上で、組織が抱える問題およびベストプラクティスについて紹介します。
[参考(英語):TrendMicro – Cybercrime and exploits: Attacks on unpatched systems]
図1:1年間にCVE番号が割り当てられたソフトウェアの脆弱性の数の推移
続きを読む今月第2火曜日となった2021年4月13日は、Adobe社およびMicrosoft社から最新のセキュリティ更新プログラムがリリースされました。これらのセキュリティ更新プログラムの詳細について確認しましょう。特に、MicrosoftのWin32k の特権昇格の脆弱性「CVE-2021-28310」はゼロデイ時点での悪用発生の事実をMicrosoftが確認しています。法人組織の管理者の方は、確実に修正プログラムの適用を行ってください。
続きを読む企業のオンラインインフラストラクチャが、分散化や、クラウド、モバイル、モノのインターネット(Internet of Things、IoT)といった技術の導入によって複雑化するにつれ、修正プログラム(パッチ)管理はさらに時間とリソースを消費する作業になりました。しかしながら、パッチの適用の先送りは、セキュリティ上のリスクをもたらす場合があります。消費者信用情報会社「Equifax」で発生した2017年の情報漏えいは、パッチの適用を先送りした結果セキュリティがどれほど脅威に晒されるのかを示す具体的な事例です。何百万という顧客の個人情報を露出してしまう結果となったこの事例は、最終的にはEquifaxがパッチを適用していなかったWebアプリケーションの脆弱性に起因していました。 この脅威が引き起こした状況が落ち着いた際、Equifaxは、英国の個人情報保護監督機関(Information Commissioner’s Office 、ICO)によって課された50万ポンド(2019年8月7日時点で約6千万円)の罰金に加え、最大4億3,900万ドル(2019年8月7日時点で約465億円)の経済的損失があったとの見積もりを発表しました。
(さらに…)
