2020年 ISC2 Blog 和訳

2020年12月15日

ITおよびOT環境におけるパッチ管理

サイバー脅威の進化に伴い、企業は、サイバーリスクがセキュリティインシデントに発展する前に、そのリスクを特定、分析、評価する能力を強化する必要性が高まっています。「パッチ管理」と「脆弱性管理」という言葉は、あたかも同じもののように使われていますが、そうではありません。パッチの適用は、サイバーリスクを低減するための数多くの手段の一つであるため、多くの人が誤解しています。

パッチ管理とは?

パッチ管理とは、ソフトウェアアプリケーションやテクノロジーのパッチやアップグレードを管理するための戦略であり、既知の脆弱性を修正するために、管理対象のコンピュータシステムに複数のパッチを取得、テスト、インストールすることを指します。パッチ管理は、ビジネス、ネットワーク、データのセキュリティを大きく左右します。ソフトウェアがリリースされるとすぐに、ハッカーたちはセキュリティホールや脆弱性を利用してそのソフトウェアに侵入しようと試みます。中にはそれが成功する場合もあるので、パッチが必要なのです。

パッチ管理は脆弱性管理の一機能

特定のパッチをロールアウトするか、アンロールするか、あるいは無視するかは、脆弱性管理という大きな文脈の中で決定されます。脆弱性管理とは、ITの脆弱性を積極的に緩和したり、悪用されないようにするために特別に設計されたセキュリティ対策と定義されており、単なるスキャン&パッチの機能ではありません。これは、導入されたハードウェアデバイスやソフトウェアに確認された脆弱性に対処するという困難な作業を予防的に管理するための包括的な機能です。簡単に言えば、次の式からもわかるように、脆弱性管理はパッチ管理の上位互換です。

脆弱性管理 = ポリシー + アウェアネス + 優先順位付け + パッチ管理 + テスト + 調整 + 低減

脆弱性管理は、インフラにパッチが必要なときに警告を受けることだけではありません。それは、十分な情報に基づいて判断し、どの脆弱性にどのように対応するかを適切に優先順位付けすることです。

このように、パッチ管理は脆弱性管理と切り離して計画・運用することはできません。なぜなら、パッチが害ではなく益をもたらすことを確認する必要があるからです。どのような状況でも、「パッチを早く当てればいい」というのは正しいアドバイスではありません。ほとんどの企業は「よりスマートにパッチを当てる」べきであり、それは「パッチを当てるべきものに優先順位をつける」ことを意味します。 基本的にはバランスを取ることが大切です。

パッチを当てるべきか否か?

パッチをインストールするかしないかを決める前に、パッチをインストールすることによるメリットとリスクを理解することが重要です。パッチを当てることに意味があるのか?

パッチを当てる理由として最も分かりやすいのは、OSまたはアプリケーションのセキュリティ上の欠陥を修正することです。しかし、適時・正確にパッチを当てることで得られるメリットはこれだけではありません。多くのベンダーは、アプリケーションの安定性を向上させるためのパッチをリリースしています。このような改善は、重要な機器の安定性と稼働率が最も重要であるOT環境において、パッチを適用することを強く推奨するものです。最後に、パッチは特定のアプリケーションのバグや欠陥を解決するのにも役立ちます。

また、パッチを当てるメリット以外に、パッチを当てないことによるリスクもあります。これは、OT側ではなくIT側でリスクがどのように認識されているかと密接に関係しています。組織のIT部門では、ネットワークのダウンタイムよりもデータの損失の方が大きな問題であると考えられているため、リスクよりもメリットの方が大きいと考えられています。一方、OT側にとっては、信頼性が重要なファクターであり、システムのアップタイムが非常に重要になります。大きなリスクは、不正なパッチや破損したパッチによって重要なネットワークやコンポーネントが停止することです。さらに、毎日15件以上の脆弱性が発見されていることを考えると、パッチ適用は非常に時間のかかる作業であり、場合によってはフルタイムの仕事とも言えます。組織の両サイド(IT/OT)がリスクとリターンをどう捉えるかは大きく異なります。

「ハッキングされるかされないかではなく、いつハッキングされるかという問題である。」という格言は、何もしないことのリスクを浮き彫りにしています。「ハッキングされたとき」のリスクをより詳細に検討し、制御された手動のセグメント化されたパッチ適用とは対照的に、予期せぬ制御されないシステムのシャットダウンの確率と比較検討する必要があります。

IT対OTパッチの課題と相違点

ITとOTのリスク認識と優先順位の違いを理解するためには、この2つの世界がCIAの三要素をどのように認識しているかを確認することが有益です。

IT側としては、機密性が最も優先されます。顧客やスタッフの個人情報などの貴重なデータを失うことは、どのような組織にとっても破滅的なことであり、金銭的な損失、風評被害、規制による罰則などを伴う可能性があります。

完全性は、IT環境の2番目の懸念事項です。組織が侵入され、データや知的財産が盗まれたことを認めなければならない場合、ブランディングや顧客維持に大きな影響を与える可能性があります。完全性に影響を与えるインシデントは、金銭的な損失にもつながり、企業は罰金や、不満を持つ顧客による通常の収益の損失などの問題に直面する可能性があります。

最後の懸念は、可用性です。組織は常にシステムの可用性を維持したいと考えており、特に顧客向けのシステムではそのように努めています。しかし、システムがダウンした場合、MTTR(Mean-Time-to-Repair:平均修復時間)は、OT組織に比べてはるかに短いものです。仮想バックアップからシステムを再構築することは、物理デバイスを本番環境から外して新しいものと交換するよりもずっと簡単です。通常、ベンダーの専門家が関与することでコストとダウンタイムが増加します。

一方で、OT組織にとっては、可用性が最も優先されます。システムのダウンタイムに伴うコストは、たとえ短時間であっても数百万ドルまたはユーロになる可能性があるため、これはとても理解できることです。もちろん、そのようなダウンタイムが社会に大きな影響を与える可能性があることは言うまでもありません。電力網が停止した場合、どれだけ多くの家庭が影響を受けるかを想像してみてください。また、製品やサービスの相互関連性・相互依存性が非常に高いため、OTシステムが停止すると、他の組織や産業に支障をきたす可能性があります。

完全性の優先順位は、ITと同様に2番目に高く、その理由はブランディング、収益の損失、罰金です。優先順位の最後にあるのは機密性ですが、これを最小限の関心事と考えるべきではありません。実際、産業スパイによる機密・秘密データの喪失は、個人データの喪失よりもさらに悲惨な結果を組織にもたらします。

ITとOTの融合

このような違いはありますが、ITとOTには共通点があり、それは安全性です。しかし、2人の共通点はこれだけではありません。ITとOTは、資産棚卸、脆弱性評価、ポリシー管理、変更検知、構成評価、ログ管理など、多くのセキュリティ管理やプロセスで重複しています。

実際、米国国土安全保障省(DHS)は、優れたパッチ管理プログラムは以下の計画の要素を含むべきだと述べています。構成管理計画、パッチ管理計画、パッチテスト、バックアップ/アーカイブ計画、インシデント対応計画、および障害復旧計画。

パッチ管理の効率化戦略の解決策は、組織のセキュリティチームとオペレーションチームが協力して取り組むことです。組織がOTとITを融合させ、基本的に両者が1つの技術的な傘の下で報告するようにすることで、IT集中管理ツールを使用して潜在的に悪意のあるパターンを素早く特定し、OTチームに警告することの利点を容易に理解することができます。その結果、OTチームはよくわからないノイズに対応するのではなく、1つのイベントに対応するようになり、人員と関連コストを削減することができます。

そのためには、セキュリティ担当者は、ITとOTのセキュリティ課題に対処するために必要な実践的な経験を積む必要があります。セキュリティの運用・管理、リスクの特定、監視・分析、インシデント対応・復旧などの知識は、セキュリティ実務者としてのキャリアアップを目指す人にとって貴重な財産となります。

セキュリティの課題に取り組むために必要な経験については、ホワイトペーパー「How You Can Become a Cybersecurity Hero」をご覧ください。

SSCP資格がどのように役立つか

技術的なスキルとセキュリティの知識をアピールするのに、SSCP資格を取得する以上の方法はありません。経験豊富なセキュリティ専門家であれ、サイバーセキュリティの魅力的な世界に足を踏み入れたばかりの人であれ、ISC2のSSCP資格は、組織の機密性、完全性、可用性を確保するためのセキュリティ手順とコントロールを実装、監視、管理する能力を強化するのに最適な資格です。

原文記事: https://blog.isc2.org/isc2_blog/2020/12/patch-management-in-it-and-ot-environments.html