脆弱性評価とパッチ管理：思っている以上に重要

在宅勤務者の数が記録的な水準で推移する中、サイバー犯罪者はさまざまな方法で自宅のコンピュータユーザーや企業に侵入しようとしていることを忘れてはなりません。最も一般的で効果的な手口の1つは、OS自体またはインストールされているサードパーティ製アプリケーションのいずれかのソフトウェアの脆弱性を悪用することです。

ご想像の通り、サイバー犯罪者は広く利用されているアプリケーションやサービスを狙うことが多く、Windows OSやサードパーティ製の人気のソフトウェア（PDFリーダー、オフィススイート、ブラウザ、自動実行型のファイル圧縮ソフト（パッカー）、ビューアーなど）が一般的な標的となります。もちろん、このような攻撃が他のアプリケーションを調査しないということではなく、実際にはその逆です。サイバー犯罪者は、どのようなソフトウェアが使用されているかを確認し、パッチが適用されていない深刻な脆弱性を持つ希少なアプリケーションを探すことがよくあります。

どのような脆弱性も危険ではありますが、脆弱性は悪用される（つまり実際に使用される）ことで被害が発生します。そのため、ソフトウェアの脆弱性が高リスクまたは重大なリスクであると判断された場合には、直ちに対策を講じる必要があります。

ベンダーやセキュリティアナリスト企業の報告によると、脆弱性の数は年々増加の一途をたどっています。例えば、BeyondTrust社の報告によると、マイクロソフトの脆弱性は増え続け、2018年には700件の脆弱性が発見されたとのことです。

Skybox security社のレポート "2019 VULNERABILITY AND THREAT TRENDS（2019年度の脆弱性と脅威のトレンド）  

パッチの適用が重要な理由とその適用方法

脆弱性を無くすためには、ソフトウェアパッチが必要です。セキュリティ上の抜け穴を塞いだり、機能を追加したり、パフォーマンスを向上させたりするためにメーカーがリリースするアップデートのことです。ソフトウェアベンダーの中には、これを適切に提供するところもあれば、そうでないところもあります。いずれの場合も、パッチのリリースには時間がかかるため、時間差が生じます。

Equifax社のデータ流出は、これまでに知られている最大のデータ盗難の１つであり、これが成功したのは、Apache Strutsソフトウェアの既知の「重大な脆弱性」を利用したからです。この脆弱性はもともと2017年3月7日に公開されました。3月8日に国土安全保障省から警告を受けたにもかかわらず、「Equifaxはシステムに完全なパッチを当てず、システムとデータが公開されたままになっていました。2017年5月13日、攻撃者はEquifax社へのサイバー攻撃を開始し、その攻撃は76日間続きました…」

DataEdgescan社の「2019 Vulnerability Statistics Report（2019年度 脆弱性統計レポート）」のデータは、現代のソフトウェア業界における脆弱性の解消に必要な一般的な時間を示しています。  

パッチは通常、サポートされているソフトウェアに対してのみ提供されるということに注意することが重要です。古いバージョンのアプリケーションのサポートが終了した時点で、開発者にはセキュリティホールを塞ぐ義務がなくなるため、そのアプリケーションを使用するのは止めなければなりません。

個人ユーザーも企業のシステム管理者も定期的なパッチ適用に必要なだけの注意を払っていないため、パッチ適用が透明化・自動化されていない場合に、より大きな問題が生じます。そのため、ソフトウェア開発会社は自社製品のアップデート手順を継続的に改善し、自動化しています。例えば、マイクロソフト社では、企業環境向けにWindows Server Update Services（WSUS）」やホームユーザーやホームオフィス向けに「Windows Update」を提供しています。これらは、Windowsベースのアプリケーションの更新メカニズムです。Java社、Adobe社、Google社、Mozilla社などの企業は通常、自社がリリースするソフトウェアに独自のアップデート手順を組み込んでいます。

とはいえ、これらの定期的な組み込み型のアップデートはどれも完ぺきではありません。マイクロソフト社は自社のソフトウェアを更新することしかできず、サードパーティ製のソフトウェアについては何もできません。これは高価なWindows Serverによってのみサポートされており、アップデートのために多くのストレージを必要とし、管理データベースが時々破損してしまうことがあります。

他のソフトウェア開発者のケースでは、アプリを更新するためにユーザー操作が必要になることが多いのですが、ユーザーはOSの再起動を回避するためにアップデートをできるだけ遅らせる傾向があるため、別の問題が発生します。また、ユーザーがアップデートをインストールしてもマシンを再起動しないため、再起動するまでシステムが脆弱な状態になってしまうこともあります。 そのためにパッチ管理システムと呼ばれる特殊なソリューションが存在します。しかし残念ながら、これらのソリューションには必要な機能が不足しており、お客様の期待に応えられないことが多いのです。

アクロニスの脆弱性診断とパッチ管理
サイバープロテクションベンダーであるアクロニスは、パートナーや顧客のシームレスな事業継続性を保証するために、サイバーセキュリティのあらゆる側面に対応しています。脆弱性評価とパッチ管理はアクロニスのサイバープロテクション計画にとって重要な要素であり、お客様のセキュリティ対策を1つの管理コンソールと1つのエージェントに集約することで、セキュリティ管理にありがちな複雑さを解消します。

アクロニスの脆弱性評価およびパッチ管理機能は、ネットワーク上で動作するデバイスやアプリケーションに関する詳細情報を提供し、中小企業のあらゆる期待に応えます。脆弱性は内部の深刻度スケールに従って分類され、必要な更新は自動的に取得され、対応する保護プランを微調整することで様々なグループに展開されます。

アクロニスは世界中のクラウドサーバーからパッチを配信していますが、Windows以外のシステムやサードパーティ製アプリのパッチ展開時の速度低下を防ぐため、ピアツーピアのパッチ配信技術も取り入れています。更新、アップグレードおよびアプリケーションには、非常に大きなファイルを含むパッケージが含まれることがあります。これらをダウンロードして配布すると、受信したデバイスのネットワークリソースを消費してしまいます。そこでアクロニスは、配信を最適化することにより、これらのパッケージのダウンロード作業をお客様の導入する複数のデバイスで分担し、帯域幅の消費を抑えます。

多くの競合ソリューションとは異なり、Acronis Cyber Protectの脆弱性評価では、Windowsベースのネットワークだけでなく、Linuxネットワークもサポートされています。パッチ管理機能には、さまざまなIT管理機能を自動化し、時間とリソースを節約するクライアント管理ツールのセットが含まれています。例えば、Acronis Cyber Protectのパッチ管理機能は、企業ネットワークの内外にあるエンドポイントにパッチを適用することができ、リモートユーザーやモバイルユーザーを抱えるお客様からの要望が多い機能です。

このパッチ管理機能は、フルディスクバックアップからの独自の安全な復元シナリオできます。ご存知のように、バックアップ、特にフルバックアップにはマルウェアが含まれることがあります。これはバックアップされるマシンにマルウェア対策製品がない場合や、マルウェア対策ソリューションが十分に対応できなかった場合に起こる可能性があります。Acronis Cyber Protectはバックアップをスキャンしてマルウェアを削除することができるため、管理者はマルウェアのない「クリーンな」ディスクイメージからユーザーのマシンを復元することができます。

さらに重要なのは、管理者がこのオプションを有効にしていれば、Acronis Cyber Protectが自動的に利用可能な最新のアップデートでシステムにパッチを自動的に適用することができるので、新しいワームの流行を防ぐことができます。ネットワークが侵害され、管理者がフルディスクイメージからマシンを復元しようとしたところ、ネットワームマルウェアがパッチのあたっていないOSの脆弱性を悪用していたために、他のすべてのマシンに再び感染してしまったという企業の話を直接聞いたことがあります。

Acronis Cyber Protectの安全な復元機能は、このフルディスクバックアップ内のAcronis Cyber Protectエージェントのマルウェア対策ベースを最新の定義およびAIモデルに更新することでお客様の保護を保証します。つまり、マルウェアを検出し、既にパッチが適用されたシステムへの攻撃を防ぎます。

最後に
常に新しい脆弱性が発見されているため、システムおよびアプリケーションにパッチを適用するための実証済みの方法を用意することが重要です。優れたパッチ管理システムを使用して、脆弱性がどのように発見され、どのように悪用を防ぐことができるかについての詳細はホワイトペーパー「脆弱性評価とパッチ管理の重要性」をお読みください（英語のみ）。 

Acronis Cyber Protectは、トップレベルの脆弱性評価とパッチ管理機能を備えており、卓越したサイバーセキュリティと受賞歴のあるバックアップソリューションとの緊密な統合により、数多くの独自の有用な機能を提供します。これらの機能を体験するには、Acronis Cyber Protectのデモを予約するか、製品を30日間無償で試用することができます。