eSecurity Planetはこのほど、「Patch Management Best Practices & Steps|eSecurity Planet」において、、脆弱性を修正するパッチ管理に有効な手順とベストプラクティスについて伝えた。パッチ管理はセキュリティにおいて重要な側面とされており、すべてのエンドポイントやシステムに迅速かつ包括的にパッチを適用することでリスクを軽減できるという。
紹介されている効果的なパッチ管理のための推奨手順は、次のとおりだ。
- すべてのデバイスの検出 - 企業内を徹底的にスキャンし、ネットワーク上で動作しているすべてのソフトウェア、パソコン、サーバ、タブレット、その他すべてのデバイスを発見しておく
- パッチの優先順位付け - どのパッチが適用されるかを把握し、共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)評価やその他のスコアの観点からパッチの優先順位を決定する
- リスク評価 - 組織のリスク評価を行い、最初にパッチを適用すべき主要なシステムおよびアプリケーションを特定しておく
- 定期的にパッチを展開 - パッチを迅速かつ自動的に展開させる必要があるが、組織の帯域幅を圧迫しないようにする
- インストールを検証 - レポートを確認し、パッチの展開に失敗したポイントをチェックすることでパッチが正しくインストールされたことを確認する
効果的なパッチ管理に必要なベストプラクティスとしては、、以下が紹介されている。
- アセットディスカバリ - 存在を知らないものを保護したり、パッチを当てたりすることはできない。脆弱性管理の取り組みにおいて、資産の発見は重要な役割を果たす
- パッチの優先順位付け - 非常に多くのパッチが異なるソースから公開されるため、それらに対処するための何らかのシステムを採用する必要がある。一般的なアプローチの一つに共通脆弱性評価システムに従うことがある
- パッチの置き換え - ベンダーからのパッチのリリースは早いが、包括的なものではない可能性がある。後に優れたパッチが公開されたり、脆弱性に完全に対処するための追加ステップが含まれたパッチがリリースされたりするかもしれない。そのため、最新のパッチに置き換える必要がある。
- ネットワーク帯域 - 多数のエンドポイントに複数のパッチを適用すると帯域幅が狭くなる可能性がある。企業全体の帯域幅を圧迫することなくパッチをインテリジェントに配布することで、この問題に対処できる
- サードパーティアプリケーション - ベンダーのアップデートサービスは主に自社のツールやアプリケーションを対象として設計されているため、他のアプリケーションの重要なアップデートが無視されてしまう危険性がある。導入するソリューションがサードパーティ製アプリケーションを含んでいるかを確認する必要がある
- テスティング - 組織によっては厳格なパッチテスト手順が導入されることでパッチの適用が遅れてしまうことがある。サイバー犯罪者は待ってくれないため、パッチは速やかに適用されなければならない。もちろん、パッチが問題を起こした際に以前の状態にロールバックする機能もパッチ管理の重要な機能とされている。
パッチ管理は企業のセキュリティにとって不可欠なものとされており、適切な手順とプラクティスを導入すれば、IT部門がほとんど関与することなく正確に実行できるという。