パッチプロセスをどのように監査するか

規制順守をとりまく関心が増大する中で、信頼性のあるパッチプロセスを配備することがますます重要になっています。結局、セキュリティ問題の大半はネットワークのオペレーティングシステムに適切にパッチを当てることによって解決することができるのです。Shavlik TechnologiesのColin Buechlerが、実施から監査に至るまでの手引きをステップごとに説明しています。

複雑なITシステムにおけるバグや異常は、ビジネス上の重篤な問題となるため、組織は効果的な暫定ソフトウェア-パッチをもって、問題が根本のところで処理されるまでの間、対応することができなければなりません。パッチは「フィックス(修繕)」と呼ばれることもあり、本来、プログラミングの一部分に素早い修理を施す作業のことをいいます。

インターネットセキュリティ調査を行うCERT社によると、セキュリティ侵害の95%は、適切なパッチをもってシステムを最新に保つことによって予防することができるとされています。言い換えれば、「既知の脆弱性または構造上のエラーについて、対応策が利用できるようにしておくこと」です。これに加え、ISO 27001や、情報及び関連する技術のための管理目標(CobiT)のようなセキュリティ規格は、システムの安定性と可用性をより確実にするために、ネットワーク上での使用に先立って、パッチの評価を行うための正式なプロセスを要求しています 。

パッチ評価のために実施される対策の全てを考慮し、それらを様々なネットワークの各所に配置することで、全ての情報セキュリティの中心部分を担う3つのステップ:評価、改善、マネジメントを簡単に監視することができます。これらの3つのステップは全て、リスクマネジメントのプロセスを構築するのに欠かせないものであり、組織がリスクを管理するための適切な方策を実施することを確実にするための監査プロセスに不可欠なものでもあります 。

以下に、各要素のための簡単なヒントを示します。

主な評価プロセスのためのヒント

  • 良いパッチプログラムの実施とはどのようなものかということを想定したエンドフレームを含むロードマップを作成する。
  • どのオペレーティングシステムがネットワーク上にあるのかを特定し、各システムにどの程度のパッチが適用されているのか明確にする。
  • 欠落したパッチを盲目的にシステムに適用するべきではない-パッチには、正当な理由で消去されているものもあるかもしれない-が、これに関わるリスクを評価することは絶対不可欠である。これにより、パッチを配置しないリスクがパッチを配置するリスクを上回るかどうかを決定することができる。
  • 組織によっては、環境におけるリスクの不安定さよりも、あらゆる問題を具体化するために早期にパッチを適用することを好む場合もあるが、ゼロ・デイへの脆弱性により即時のパッチ適用が必要な場合は、防衛手段を設置することが望ましい。
  • 評価の段階で弱点が発見された場合、パッチプロセスの改善とマネジメントについても企業目標を達成できない可能性が大きい。

主な改善プロセスのためのヒント

  • 改善は評価プロセスにより導き出されることを覚えておくこと。
  • 特に、組織にとって最も大きなリスクとなる項目が最初に取り扱われるべきである。
  • 多数のシステムに素早く、安全かつ効果的な形でパッチを適用することが可能な場合は、そのようにすること。これは、最小のリスクしか存在しなかったとしても、組織のリスクマネジメント戦略全体に対して有益である。
  • 全ての高リスクに同時に対処するのは不可能かもしれないが、高リスク/低リスクへのアプローチは、IT要員の専門性及び有用性に根ざして完全に信頼性のあるものにすることが可能である。
  • 高リスクへの脆弱性を防止している間に、もし特定のパッチがビジネスプロセスを阻害することが明らかになった場合はそれらを取り下げることが必要となるであろう。 通常これは、パッチを展開する前に適切な試験を行うことによって回避することができる。
  • 取り下げのプロセスを持つことで、セキュリティのアップデートが鍵となる運用プロセスに問題を引き起こす場合に、迅速にこれを撤回することができるとともに、システムをより良く保護するための、軽減管理の手段を構築することができる。
  • 各システム構成を変更し、テストを行っている間に、この手続きの記録が残されることを確実にすること。これは改善プロセスに不可欠なものだからである。

主なマネジメントプロセスのためのヒント

  • マネジメントは監査及びセキュリティの状態を適切に維持するために不可欠であることを覚えておくこと。企業は月ごとあるいは週ごとに安易に評価を実施し、改善を行うことで、システムに適切にパッチが適用されていることを確認するかもしれないが、これによってネットワーク全体のパッチ手順に関わるリスクの全てを軽減できることはほとんどない。評価及び改善実施のための規定された方法を用いた再現性のあるプロセスを構築することにより、適切なマネジメント及び監査が確実なものとなる。
  • 手順化された審査による否定的な結果を避けるため、外部審査員による審査の前に、内部監査による見直しを実施することは、組織にとって有益であることが多い。
  • 手順が順守され、許容可能なリスクが維持されていることを確実にするために、プロセスで規定された各ステップを見直すこと-組織に存在する残存リスクを示すにあたっては、監査プロセスをおいてこれに勝るものはない。
  • パッチマネジメントが機能していることを確実にするために、システム構造の変更が実施され、情報セキュリティチームによってこれが承認されていることも確実にすることが不可欠である。
  • 何にもまして、監査において、除外のための理由及び経営者によって承認された軽減管理策を説明する際に、この文書を作成できることが不可欠であることを覚えておくこと。

パッチマネジメントのための再現可能かつ規定されたプロセスを構築することによってのみ、システムへのパッチ適用に関わる企業リスクを最適に管理し、十分に監査可能なプログラムを構築することが可能となるのです。

 

著者について

Colin Buechler は、複雑な企業内のネットワーク構造、コンプライアンス及びセキュリティの簡略化を行っているShavlik Technologies社の上級セキュリティコンサルタントです。詳細は、www.shavlik.com をご参照下さい。

 

Shavlik社は、ロンドンのケンジントンオリンピア、グランドホールにて2007年4月24日から26日に開催されるインフォセキュリティ・ヨーロッパ 2007に出展しています。詳細はwww.infosec.co.uk をご参照ください。