CISO日誌: Patch TuesdayはなぜCISOにとって重要なのか

Acronis
Acronis Cyber Protect
旧Acronis Cyber Backup

著者:Kevin Reed, Chief Information Security Officer, Acronis

毎月第2火曜日はPatch Tuesdayのある非常に重要な日です。私は朝一番に、ソフトウェアとプラットフォーム全体の脆弱性にパッチが適用されたという知らせを確認しました。「Patch Tuesday」はMicrosoftがWindows 98時代に非公式で始めた月例アップデートであり、近年のデジタル環境に悪影響を及ぼす主なセキュリティエクスプロイトや脆弱性が定期的に取り上げられます。最高情報セキュリティ責任者(Chief Information Security Officer :CISO)としてチーム全体を率いる私にとって、これは防御体制を整え、サイバーセキュリティ関連のニュースを把握する絶好の機会です。

効果的な習慣を維持しましょう

Microsoftの現地時刻(米国太平洋標準時刻)で午前10時に公開されるPatch Tuesdayでは、パッチがまとめてリリースされ、当社のチームはそれらを実装する必要があります。このブログを読まれているCISOの皆さんには、Patch Tuesday後の水曜と木曜は、新しいパッチをインストールできるようにチームのスケジュールを空けておくことをお勧めします。パッチ適用後の数日間は、悪意ある攻撃者が公開された修正プログラムを分析してエクスプロイトを作成できる「黄金の72時間」でもあります。また、72時間後はちょうど金曜日にあたり、ITチームが仕事を終えて帰宅する頃に攻撃が行われる可能性があります。このように、パッチは、全般的に見ればあらゆる場所でプラットフォームやシステムの健全性を高めるものですが、サイバーテロリストが付け入る隙を新たに作り出してしまうというマイナス面も持っています。したがって、企業の健全性のためには、Patch Tuesdayの後の数日間、攻撃者の一歩先を行けるようにアップデートやパッチ適用のための時間を確保してくことが不可欠です。

アクロニスでは、CISOチームにリスクアセスメント担当者を置いています。この担当者が多数のコンピューターの脆弱性をスキャンし、私は彼らが作成したチャートを使用して完璧な優先順位付けを行う必要があります。皆さんの組織でこの戦術を採用する場合は、このチームメンバーを月ごとに交替させることを強くお勧めします。また、多様なシステムを展開している場合は、それらすべてのシステムに1日でパッチを適用できるように準備しておきましょう。

先週、さまざまなMicrosoft製品の脆弱性に対する多くの修正プログラムが公開されました。その一つであるMicrosoft Support Diagnostic Tool(MSDT)の脆弱性は、数か月前から悪用されていました(Microsoftは回避策を発表しましたが、正式な修正プログラムの提供までにはかなりの時間がかかりました)。これはExchangeサーバーの一連の重大な脆弱性と、PPTPでのリモートコード実行(remote code execution:RCE)に関する1件の脆弱性を悪用するものです。このたび修正されたRCEの脆弱性は、合計31件と非常に多数にのぼりました。アクロニスでもこれらの製品を利用しており、一部はインターネットに接続していました。当社はこれらの脆弱性を認識した時点で、露出と感度を調べ、インターネットでの露出や脆弱性のあるシステムで管理しているデータの重要度などの要素に基づいて脆弱性に対するパッチ適用の優先順位付けを行っています。

残念ながら、グローバル企業である当社にとって、世界のどの国の営業時間にも影響を及ぼすことなくシステムを再起動することは不可能です。再起動の際のワークロードへの影響を最小限に抑えるために最大限の努力をしますが、当社のシステムとチームメンバーを安全に保護するためには、一部のチームメンバーの利便性を犠牲にせざるを得ません。CISOとして、ダウンタイムがときには避けられないものであることを理解し、そのような不可避のダウンタイムの発生中は締め切りや期待事項に対して寛大な措置を取れるよう最高責任者レベルでの調整を行いましょう。また、当然ながら、ダウンタイム発生中に影響を受ける人には、社内連絡の形で注意を喚起してください。

毎月同じ日(毎月第2火曜日)をパッチ適用日とすることに、ベンダー各社の同意を得る必要があります。そうすることで、ITチームの負担が軽減され、脆弱性にパッチを適用する作業が容易になるとともに、パッチ適用後は他の優先事項に集中しやすくなります。ただし、そのためには、Acronisエージェントのような、ソフトウェアインベントリー管理を支援するツールが必要です。

8月9日(火曜)にAdobe Acrobat Readerの脆弱性が公表され、3つほどの緊急のセキュリティ脆弱性を修正するパッチが提供されました。これらの脆弱性がアクロニスにとってたいした問題にならないのは、自動化ソフトウェアによってこれらのパッチが実装されるからです。しかし、サードパーティーの自動化ソフトウェアを導入していない組織では手作業でパッチを適用する必要があり、大きな問題となります。繰り返しになりますが、脆弱性や頻繁なパッチに備えて準備を整え、適切なツールを導入することは、ダウンタイムを減らし、定期的なパッチ適用とシステムアップデートを容易にするための最適な方法の一つです。

月次メンテナンスの優先順位付け

究極的には、Patch Tuesdayはサイバー防御を最新の安全な状態に保つための最善の手段の一つです。非公式ながら長い実績を持つこの慣習によって、CISOとそのチームはビジネスおよびシステムの停止を最小限に抑えつつ、メンテナンスとダウンタイムを計画することができます。Patch Tuesdayに備えて毎月事前準備をすることで、システムの健全性と安全性を確保し、インフラストラクチャを常にパッチ適用された最新の状態に保つことについての不安を取り除きます。

Acronis Cyber Protectなどのサイバー保護エージェントは、自動化されたシステムの維持と毎月のPatch Tuesdayのさらなる円滑化に役立ちます。「黄金の72時間」に注意し、攻撃者に先回りして、週末までにシステムにパッチを適用して準備を整えましょう。

※このブログは、2022年9月16日の英文ブログCISO Diaries: Why Patch Tuesday is a CISO's best friendの抄訳です。

アクロニスについて

アクロニスは2003年にシンガポールで設立されたスイス企業です。アクロニスは、世界15か所のオフィスと50カ国以上で拠点を擁しており、Acronis Cyber Protectソリューションは150カ国に26言語で提供され、2万社を超えるサービスプロバイダーで利用されており75万社を超える企業を保護しています。

アクロニスのその他の情報