サードパーティ製品のパッチ適用に関する 脆弱性ギャップの

ソリューション概要：
サードパーティ製品のパッチ管理
サードパーティ製品のパッチ適用に関する
脆弱性ギャップの解消
対象読者
Adobe、Java、Firefox、Chrome など、サードパーティアプリケーション
（Microsoft 以外）のパッチ管理を行う IT マネージャ
サードパーティ製品のパッチ適用に関する脆弱性ギャップの解消
目次
概要 ······························································································································· 1
パッチ適用における 4A ベストプラクティスアプローチ ········································ 1
評価 ······························································································································· 2
分析 ······························································································································· 3
適用 ······························································································································· 4
強化 ······························································································································· 4
シマンテックのソリューション ·················································································· 5
サードパーティ製品のパッチ適用に関する脆弱性ギャップの解消
概要
セキュリティチームや運用チームに所属しているかどうかにかかわらず、すべてのシステムに最新のセ
キュリティパッチを確実に適用することは、IT マネージャの最優先課題の 1 つです。Patch Tuesday
（Microsoft 社の定期更新プログラム）には適切に対処できるでしょう。しかし、その他のサードパーティ
アプリケーションや OS の更新プログラムについてはどうでしょうか。SANS によれば、「危険な脆弱性
のあるソフトウェアの発見や修正が大幅に遅れると、執拗な攻撃者が侵入し、脆弱なコンピュータを制御
して、保管されている機密データにアクセスする1チャンス
「危険な脆弱性のあるソフトウェアの発
を存分に与えることになる」ということです。
見や修正が大幅に遅れると、執拗な攻撃
者が侵入し、脆弱なコンピュータを制御
サードパーティ製品のパッチ適用を無視するわけにはいき
して、保存されている機密データにアク
ません。しかし、潜在的な危険性のあるすべてのサードパー
セスするチャンスを存分に与えることに
ティアプリケーションについて、タイムリーかつ効率的に、
なります」
- SANS Institute
最新の更新プログラムを確実に適用することは非常に困難
です。サードパーティ製品のパッチ適用において多くの組織
が直面している課題を簡易化するためにシマンテックは、パッチ適用に関するすべての懸念を解決するベ
ストプラクティスアプローチを開発しました。このパッチ適用には、Microsoft ソフトウェアのパッチも
Microsoft 以外のソフトウェアのパッチも含まれます。
パッチ適用における 4A ベストプラクティスアプローチ
ほとんどの企業で無数の脆弱なアプリケーション、プラグイン、オペレーティングシステムがインストー
ルされている中で、パッチ管理は、時間のかかる大規模な投資になることもあります。シマンテックのパッ
チ管理における 4A モデルは、プロセスの効率化、必要な時間の短縮、セキュリティチームと運用チーム
のより円滑な調整、そしてシステム保護の強化につながる、集中的なベストプラクティスアプローチを実
現します。パッチ管理における 4A モデルは、リスクを解消したいセキュリティチームの懸念と、影響や
コストを抑制したい運用チームのニーズとの間で適切なバランスをとることを目指しています。
すべてのアプリケーションとオペレーティングシステムに効果的かつ効率的にパッチを適用しようという
シマンテックのベストプラクティスアプローチは、次の 4 段階で構成されます。
• 評価（Assessment）
• 分析（Analysis）
• 適用（Application）
• 強化（Advancement）
1
SANS Institute、『Critical Control 4:Continuous Vulnerability Assessment and Remediation』（Critical Controls for Effective Cyber
Defense, Version 4.1 http://www.sans.org/critical-security-controls/control.php?id=4）
1
サードパーティ製品のパッチ適用に関する脆弱性ギャップの解消
評価
評価段階に主に関係するのは、セキュリティチームです。セキュリティチームは評価段階で、セキュリティ
勧告、セキュリティ情報、脅威管理情報を見直して、自社の環境に関係する脆弱性に対して、どのような
既知の弱点や潜在的な攻撃があるかを確認します。また、前回の更新プログラムのロールアウト以降にベ
ンダーによってリリースされた最新の更新プログラムやパッチについても特定します。セキュリティチー
ムはこれらの情報を使って、自社の環境に該当する各種の更新プログラムを優先度付けしたリスク評価を
作成します。最終的には、運用チームがパッチ配備作業のガイドとして、このリスク評価を使うことにな
ります。
セキュリティチームにとっての評価段階における大きな課題は、ベンダーによってリリースされた、すべ
ての新しい更新プログラムを特定することです。Symantec™ Patch Management Solution は、前回の
更新以降にベンダーが公開した、自社の環境に関連するすべてのパッチについてレポートを生成すること
で、このプロセスを大幅に簡易化します。また、このレポートには、最新のパッチを受信済みのコンピュー
タの台数、そのパッチが適用されたコンピュータの台数、今もそのパッチを必要としているコンピュータ
の台数が示されます。
セキュリティチームは、最新の更新プログラムや、それら
「2012 年の CVE データによれば、脆
の更新プログラムを必要としている自社環境のデバイス
弱 性の 多い ベン ダー の上位 5 社は 、
について確認した後に、リスク評価を作成する必要があり
Microsoft 社ではないベンダーでした」2
ます。リスク評価の一貫として、それぞれの更新プログラ
ムに優先度を割り当てます。こうすることで運用チームは、すぐに配備する必要のある更新プログラムと
後日配備すればよい更新プログラムを識別できます。2
セキュリティ情報やセキュリティ勧告では、多くのサードパーティベンダーが更新プログラムに重大度を
割り当てています。これらの重大度はリスク評価の補助情報として使うことはできますが、ベンダーの評
価に完全に頼るわけにはいきません。たとえば、Internet Explorer の特定のパッチが重大だと示すセキュ
リティ情報を Microsoft 社がリリースしたとします。しかし、自社では主に Chrome™ や Firefox® を
使っており、少数のユーザーしか Internet Explorer® を使っていない場合、その更新プログラムは自社
にとって重大ではないと見なせるでしょう。
このようなリスク評価の側面を支援するために、Patch Management Solution では、独自の重大度を定
義してカスタマイズし、更新プログラムに割り当てることができます。たとえば、組織に重大な影響を及
ぼしうる脆弱性に適用する更新プログラムを「1」、中程度の影響度を表す脆弱性へのパッチを「2」、影
響度が最小限の更新プログラム（小さなバグ修正や、セキュリティの脅威がない更新プログラムなど）を
「3」とした、3 段階の重大度を定義できます。
2
http://cvedetails.com/
2
サードパーティ製品のパッチ適用に関する脆弱性ギャップの解消
分析
分析段階は、パッチ適用やソフトウェア更新のプロセスに関する変更管理プラクティスに適用されます。
変更管理チームがある場合は、通常はこのチームが分析段階を進めます。変更管理チームは、セキュリティ
チームが作成したリスク評価を使って、ロールアウトの全体的なスコープを定義します。この作業には、
ロールアウトの全体的な影響の評価や、修復戦略の策定が含まれます。修復戦略では、配布する実際の更
新プログラムや、更新プログラムを受信するエンドポイント、除外されるエンドポイントを示す必要があ
ります。また、修復戦略には移行計画やロールバック計画も含まれます。ロールバック計画は、ロールア
ウトの実施中に失敗したり、問題が起きたりした場合に必要となる対策の手順を説明するものです。
優れたベストプラクティスの主な要素に、予測可能で繰り返し可能な、順序立てたプロセスを採用するこ
とも挙げられます。この点は特に、パッチリリース手段やリリーススケジュールに当てはまります。各種
の更新プログラムの配布予定を従業員が把握できるように、リリース手段の標準を定義する必要がありま
す。たとえば、3 層のリリース手段を使うと便利です。それぞれの層には固有の重大度を担当させて、そ
の層に割り当てられた更新プログラムを指定された頻度で配布するようにスケジュール設定します。
第 1 層は重大度
「1」
のすべての更新プログラム用の層です。
「ソフトウェアパッチは非常に多く存在
このような更新プログラムは、必要なすべてのテストの完了
するので、IT セキュリティや運用のプ
後、できる限り早く配備する必要があると思われます。重大
ロフェッショナルは、パッチ適用作業を
度「1」の更新プログラムは、スケジュール範囲外のリリー
スと見なします。第 2 層は、重大度「2」のすべての更新プ
優先度付けして、セキュリティ態勢に最
大の影響を及ぼす作業に集中する必要が
あります」3
ログラム用の層です。このような更新プログラムは、月に 1
回の定期ロールアウトに含めることになるでしょう（Patch Tuesday と同じタイミングでのリリースも可
能です）。この月単位のロールアウトには、Patch Tuesday の一部としてリリースされた重大度「1」の
更新プログラムも追加します。第 3 層には、重大度「3」のすべての更新プログラムが含まれます。この
ような更新プログラムは、四半期単位または半年単位で配備するようにスケジュール設定できます。3
リリース手段の標準を定義することに加えて、パッチや更新プログラムの段階的なロールアウトについて
も修復戦略で規定することがベストプラクティスです。段階的なロールアウトによって、特定のパッチの
配布に関連する潜在的なリスクを最小化できます。段階的なロールアウトの採用方法は企業によって異な
りますが、段階的なロールアウトは通常、小さなコンピュータのグループを対象とした配布から始まりま
す。その後、ロールアウトの各段階が成功した後に、より多くのコンピュータを対象にします。例として、
まずは実験環境にあるテスト用コンピュータのグループに更新プログラムを配布します。この段階で問題
が起きなければ、配布対象を IT 部門のパイロットユーザーグループにまで広げます。それでも問題が起
きなければ、適切と思われる重大度で、配布対象を本番環境にまで広げます。
修復戦略では、ロールアウトの各段階で問題が発見された場合の対策についても検討する必要があります。
たとえば、問題が解消されるまで、問題のある更新プログラムのロールアウトを遅らせるといった対策が
3
『Application Control: An Essential Endpoint Security Component』、Chenxi Wang、Chris Sherman 共著、Forrester Research,Inc.、
2012 年 9 月 7 日
3
サードパーティ製品のパッチ適用に関する脆弱性ギャップの解消
考えられます。問題がコンピュータの特定の設定にしか影響しない場合は、問題のその側面を解決する方
法を見つけるまでは、それらのコンピュータをロールアウト対象から除外するように指定できます。
通常の段階的なロールアウトに加えて、本番環境のコンピュータを複数のグループに分けて、それぞれの
グループに独自の配布手段を定義することもできます。そのようにグループを分けることで、弱点にさら
される可能性の高いコンピュータに対して最初にパッチを適用できます。システムの可用性要件に対応す
るように作成されたグループもあれば、インフラ内でシステムの冗長化やフェールオーバー処理を考慮し
なければならないグループもあるでしょう。
適用
パッチ管理プロセスの適用段階には、運用グループが最も深く関係します。運用チームはこの適用段階で、
分析段階で作成された修復戦略をガイドとして使いながら実際の更新プログラムやパッチをロールアウト
します。適用段階の主な目標は、リスクを適切に緩和して業務の中断時間を最小化しながら、更新プログ
ラムをタイムリーに配備することです。
ベンダーの Web サイトから実際の更新パッケージをダウンロードすることが、適用段階で最も時間のか
かる作業の 1 つです。Patch Management Solution は、分析段階で新しいパッチに関する情報を示すこ
とで、セキュリティチームのかなりの時間と作業量を削減しますが、同様にベンダーのサイトから実際の
更新パッケージを自動的にダウンロードすることで運用チームも支援します。運用チームは適用段階で、
そのダウンロード済みのパッケージを配布できます。
すべての更新プログラムとパッチが計画通りに配備されたことを検証するために、運用チームは正確なコ
ンプライアンスレポートを生成する必要があります。コンプライアンスレポートは、単なる段階終了時の
成果物ではなく、むしろ、ロールアウトの進行状態を定期的に監視するために、適用段階の全体を通じて
使われます。ロールアウトが完了したときには、期待されるコンプライアンスレベルを達成したことを示
す証拠として、コンプライアンスレポートの最終版を生成できます。Patch Management Solution は、
適用段階の全体を通じてカスタムのコンプライアンスレポートを自動的に生成できる機能により、このプ
ロセスも簡易化します。
強化
パッチ管理の 4A ベストプラクティスモデルの最終段階は、強化段階です。この段階では、他の段階で関
係したすべてのアクティブな参加者が、パッチ管理プロセス全体の継続的な改善に向けて協力して作業し
ます。複数のチームが調整しながら、各段階やプロセス全体の各種の側面を最適化して微調整するという
目的を持って、最近実施したパッチのロールアウトを継続的に評価します。強化段階は、過去の誤りや成
功から学び、メリットを得るチャンスです。
4
サードパーティ製品のパッチ適用に関する脆弱性ギャップの解消
シマンテックのソリューション
パッチ管理の成功には、月単位の Patch Tuesday 更新プ
「過去そうであったように、発生頻度の
ログラムへの対処を越えたアプローチが必要です。そのた
高いマルウェア感染の経路は今後も、
めには、組織に関連するすべてのサードパーティ製品の更
Web アプリケーションの脆弱性を経由
新プログラムとパッチを網羅したベストプラクティスアプ
したリモート攻撃者によるインストール
またはインジェクションです」4
ローチが必要になります。そして、IT セキュリティと IT
運用の両面のニーズに対応するソリューションが求められます。Patch Management Solution はこれら
すべての要件に対応します。
Patch Management Solution は、業界のベストプラクティスに基づいてモデル化された最善のソリュー
ションです。Microsoft 社、Apple 社、Adobe 社、Oracle 社、Mozilla 社、Google 社など多様なサー
ドパーティベンダーが提供する更新プログラムについて、総合的かつ全体的なパッチ管理を実現します。
また、Windows®、Mac®、Linux® という広範なプラットフォームをサポートします。セキュリティ態勢
を改善し、さらにコストや運用への影響を最小限に抑えるように、パッチ適用プロセスの全段階を自動化
して最適化します。
Patch Management Solution はスタンドアロン製品として、および、Symantec™ Client Management
Suite にて提供しています。Client Management Suite により、異機種混在クライアント環境のライフサ
イクル全体を管理できます。Windows、Mac、Linux、仮想デスクトップ環境にわたって、より優れた効
率性により、システムの管理、保全、トラブルシューティングを実施できます。統合管理コンソールが付
属する拡張性のあるインフラ上に構築されており、ユーザーは IT 環境の制御を確保し、それを維持でき
ます。Client Management Suite により、今までにないレベルの予測能力を身に付けることを実現し、自
信を持って変更を管理し、より賢明で迅速な意思決定を行い、イノベーションを促進して業務上のより大
きな成功を収めることができます。
4.
『2012 Data Breach Investigations Report』、Verizon
Copyright © 2014 Symantec Corporation. All rights reserved.
Symantecと Symantecロゴは、Symantec Corporationまたはその関連会社の米国およびその他の国における登録商標です。その他の会社名、製品名は各社の登録商標または商標です。
製品の仕様と価格は、都合により予告なしに変更することがあります。本カタログの記載内容は、2014 年 1 月現在のものです。
株式会社シマンテック
〒１０７-００５２ 東京都港区赤坂１-１１-４４ 赤坂インターシティ
www.symantec.com/jp
5
E1401WP0-IN-PMS