ソフトウェアへのパッチの適用を自動化すべきか、それとも手動で慎重にやるべきか

脆弱性対処に伴うのがパッチの適用だ。ある見方では、パッチは自動化すべきではないとの意見もある。それはなぜか。

[Deepak Kumar，Cybersecurity Dive]

　2024年7月、CrowdStrikeの誤ったアップデートが原因で大規模な障害が発生した。システムが相互接続されているため、誤ったパッチファイルが業務を阻害する可能性がある。

「安全のためにパッチの適用は手動にすべき」の間違い

　脆弱（ぜいじゃく）性対応のためにパッチを当てることは、コンピュータネットワークを保護するために重要だ。パッチの適用には、手動と自動の2つの方法がある。

　最近のセキュリティインシデントの傾向から、パッチは自動適用ではなく手動にすべきだという意見がある。だが、この考えは大きな誤りだ。

　パッチの適用を遅らせることは、サイバー攻撃のリスクにさらすことにつながる。手動によるパッチ適用は、IT部門にとって時間と手間のかかるプロセスだ。

　手動でパッチを適用する場合、まずIT管理者は正しいパッチを特定し、膨大なレポート資料を基にパッチを調査する。安全に社内へ展開するためにはIT担当者は数多くのタスクを伴う。

　IT部門が対応に追われた結果、多くの脆弱性が未対応のまま放置され、サイバー犯罪者や国家ぐるみの攻撃者に狙われやすい状況をつくり出してしまう。手動によるパッチの適用は後回しにされがちで、致命的なリスクを招く恐れがある。

　可能な限りパッチ適用を自動化するソリューションを活用すべきだが、そこには大きな注意点がある。問題発生時に、企業全体への影響を防ぐために安全策が必要だということだ。

自動化されたパッチ適用は攻撃対象を限定する

　サイバー攻撃の90％はエンドポイントから始まる（注1）。パッチが適用されていないデバイスは組織にとって大きなリスクとなる。サイバー犯罪者は脆弱性を抱える企業を常に探している。

　パッチが適用されていないソフトウェアを狙って攻撃者はシステムに侵入し、データを盗んだり混乱を引き起こしたりする。そうなると身代金を支払うか、顧客や従業員のデータをさらすリスクを抱えるしかなくなってしまう。

　2023年に公開された脆弱性は2万6447件で（注2）、サイバー攻撃者は脆弱性の75％を19日以内に悪用したという。リスクの高い脆弱性の4件に1件は、公開されたその日に悪用されている。

　企業が保護しなければならない攻撃対象の数は、従業員が手動で処理できる数をはるかに上回っている。そのため、パッチ適用の自動化が必要なのだ。自動化することでIT担当者はコントロール性を失ったと感じるかもししれないが、手動によるパッチの適用は組織の安全性を確保するという視点で考えると現実的な選択肢ではない。コントロール性を伴った自動化手段が不可欠だ。

管理者に安心感を与えるコントロール性が重要

　企業は多くのアプリケーションと複数のOS、ドライバーを利用している。継続的にメンテナンスをしてパッチを当てなければならない。IT管理者がこのプロセスにおける権限を持つことで、致命的なリスクは減少する。

　まず、重要度の低いマシングループに対して迅速にパッチを適用し、これらのパッチが検証されるのを待つ。誤ったパッチがリリースされるケースはよくあることだ。そして、この一連の流れを自動化し、繰り返せるようにすべきだ。このアプローチはリスクと混乱を抑制し、最小限にするために役立つ。

　デバイスが更新されたり、リプレースされたり、設定が変更されたりする度にパッチをリアルタイムで適用し、最適な構成であることを確認する。ここで明確にすべきことは、完全に自動化されたソリューションであっても人間が戦略とプロセスを定義し、残りをソフトウェアが実行すべきだということだ。

　パッチの段階的な展開はCrowdStrikeの障害から学んだ教訓の一つにすぎない。IT管理者がパッチの適用やソフトウェアの更新に対して入念に確認し、組織を保護する必要がある。

　何か問題が発生した場合、IT管理者はコントロールパネルにアクセスし、パッチを一時的に停止したりロールバックしたりできるようにすべきだ。IT管理者やセキュリティ管理者は直ちに問題に介入してダメージを軽減し、迅速に回復することが可能になる。

　この1カ月の出来事は不安を煽るものだったが、組織は恐怖ではなく、健全な論理に基づいて意思決定すべきた。われわれは、サイバー攻撃による被害を目の当たりにしてきた。また、ミスが発生しパッチが不具合を引き起こすことも経験した。

　このことからビジネスリーダーが教訓を得るとすれば、どちらのシナリオも回避できるような対策を優先することだ。

　パッチの適用が全ての組織にとって最優先事項であることに変わりはないが、時間を要する手動によるパッチ適用はメリット以上にリスクの方が大きい。一時停止やキャンセル、ロールバックの機能を持たない自動パッチは無謀であり、混乱や最悪の事態を招く可能性がある。

　必要な管理機能を備えたパッチ適用の自動化ソリューションが最善の方法であることに間違いはない。それは攻撃者を阻止するためにスピーディーに対応し、誤ったアップデートが広範な問題を引き起こすのを防ぐ。

編集者注：本稿はサイバーセキュリティ事業を営むAdaptivaのディーパック・クマール氏（創設者兼CEO）による寄稿記事だ。

出典：Misguided lessons from CrowdStrike outage could be disastrous（Cybersecurity Dive）
注1：CrowdStrike Recognized by Forrester as a Leader in Endpoint Security with the Highest Score in the Current Offering Category（CROWDSTRIKE BLOG）
注2：2023 Threat Landscape Year in Review: If Everything Is Critical, Nothing Is（Qualys）