メディア
ニュース
» 2022年02月21日 07時00分 公開

7割の企業が脆弱性を放置 Windows FUなど更新パッチ適用の先延ばしは重大なリスクに

Windows OSの活用に更新パッチの適切なタイミングでの適用は不可欠だ。しかし、タニウムの調査では多くの企業が適用できていないことが明らかとなった。そのことがどのようなセキュリティリスクにつながるのか、最新のApache Log4J問題などを含め"脆弱性対策の最初の一歩"について専門家が語る。

[齊藤 純哉,キーマンズネット]

 「Windows 10」「Windows 11」の活用において、機能更新プログラム(Feature Updates、以下FU)を適切なタイミングで適用することが重要です。しかし、タニウムが2021年12月に発表した調査「国内におけるサイバー・ハイジーン(衛生管理)に関する調査結果」(注1)では、FUを「問題なく適用できている」とした回答者は全体の32%にとどまり、タイムリーに脆弱(ぜいじゃく)性対応をできている企業は全体の15%でした。既知の脆弱性の放置は、悪意ある攻撃を自ら招いているようなもので、看過してはいけません。本稿では、OSレベルの脆弱性が放置されたままの現状に対し、その背景や対応策であるサイバーハイジーンの重要性について解説します。

著者プロフィール

齊藤 純哉 Junya Saito タニウム合同会社 マーケティング本部長 Tanium 北アジア マーケティングヘッド

 タニウム合同会社にてマーケティング本部長として日本を含む北アジア地域の広報・マーケティング・インサイドセールス部門を管掌。マーケティング本部長以前は、パートナー・アライアンス営業本部長としてパートナープログラムの開発、パートナーリクルーティング(5社→20社超)ならびに組織作りに従事。前職ヴイエムウェア社では、アジア太平洋地域のグローバルアカウント部門の営業本部長や同地域の製造営業部門長、大手企業を始めとしたストラテジックパートナー部門の統括部長等を歴任。2012年にはグローバルのSales Rep of the Yearを CEO/COOより受賞。さまざまな指導的立場で10年以上の経験を持つ熟練したビジネスリーダー。

(注1)「国内におけるサイバー・ハイジーン(衛生管理)に関する調査結果」国内の従業員1000人以上を抱える大企業・官公庁等組織のサイバーセキュリティ意思決定者に対して実施したもの、有効回答数653件。

なぜNデイ脆弱性の放置は危険? ダークウェブでの悪用ツール売買も

 なぜ脆弱性の放置が危険かを改めて解説します。脆弱性とは、コンピュータやソフトウェアのプログラムにおける不具合や設計上のミス、開発者が意図しない方法での使用などによって発生するセキュリティ上の欠陥を指します。俗にセキュリティホールとも呼ばれ、不正アクセスやマルウェアなど悪意のある攻撃に利用されています。国内の例を見ても、上場企業の情報漏えい事件や公立病院のランサムウェア感染で業務が完全停止するといった事案が多数発生しています。脆弱性の放置は、攻撃者に対して組織内ネットワークのドアを開放しているような状態で、実際に発生するセキュリティ事案の大半が既知の脆弱性に起因しています。

 脆弱性対策は企業として真っ先に対応をすべき施策です。IPA(情報処理機構)は2015年以来、情報セキュリティ対策の基本の第一項目として、脆弱性を解消し攻撃によるリスクを低減するためにソフトウェアを更新するよう呼びかけています。脆弱性攻撃によって発生する事業上のリスクは情報漏えいに加え、データの改ざん、データの暗号化(ランサムウェア等の被害)、機密情報の盗難、生産ラインの停止など、その影響は計り知れません。脆弱性を「ゼロデイ脆弱性」と「Nデイ脆弱性」の大きく2つに分類し解説します。

図1 ゼロデイ脆弱性とNデイ脆弱性について(提供:タニウム)

 ゼロデイ脆弱性とは、脆弱性が公表された後ソフトウェアの提供者から修正パッチ(修正用プログラム)が提供されるまでの比較的短期間における脆弱性を指します。WindowsやLinuxといったOSを例にすると、修正パッチのリリースと同時に脆弱性が公表されることもあります。また、メーカーから公表されていない脆弱性を発見するには相当な技術力が必要とされます。

 Nデイ脆弱性とは、ソフトウェアの提供者による“修正パッチなどの提供後”に存在する脆弱性を指します。当該ソフトウェアを使用するユーザーの環境で、何かしらの理由でパッチが適用されず、既知の脆弱性がシステム環境に内在している状況です。期間は組織によって違いますが、調査結果ではこのNデイ脆弱性が大きな課題であることが明らかとなりました。

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。