「仮想パッチ」は通常のパッチと何が異なるのか：ネットワークレベルでエンドポイントの脆弱性に対処

仮想パッチは脆弱性パッチの一種だが、脆弱性のあるソフトウェアへ直接パッチを当てるのではなく、ネットワークレベルで脆弱性に対応する。Compritech.comによれば、ネットワークやシステムの管理者は業務の一環として仮想パッチに取り組むべきだという。

» 2021年06月17日 17時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　比較サイトComparitech.comは2021年6月6日、同社のWebサイトで仮想パッチについて解説した。仮想パッチを重要なサイバー攻撃対策と位置付け、ネットワークやシステムの管理者に対し、業務の一環として取り組むよう勧めている。

　仮想パッチの主な目的と機能、必要性、長所、短所、実行プロセス、注意点、ツールの要件を説明し、3種類の主要なツールを紹介した。

仮想パッチとは何か

　仮想パッチは通常のパッチと同様に、ソフトウェアの脆弱（ぜいじゃく）性を解消するプロセスだ。だが、個々のエンドポイントごとにソフトウェアへパッチを適用するのではなく、エンドポイントの脆弱性の悪用をネットワークレベルで防止する。

　仮想パッチではデータパケットとトラフィックを分析し、脆弱性の悪用を防止するセキュリティポリシーレイヤーをネットワークに展開する。仮想パッチソリューションが効果を発揮するには、「ディープパケットインスペクション」「防止」「デプロイ可能性」という3つの要素が必要になる。

ディープパケットインスペクション
　Webとネットワークトラフィックのパケットを検査し、悪意あるパケットやアクティビティーを特定する
防止
　特定後、意図された宛先ホストに到達する前に破壊する
デプロイ可能性
　クラウドとオンプレミスネットワークアーキテクチャの両方で実行できる

なぜ仮想パッチが必要なのか

　仮想パッチが必要な理由は幾つかある。まず、ベンダーから脆弱性を修正するパッチが提供されるまで、あるいはパッチをテストしている間、脆弱性の悪用による攻撃や侵害を防ぐためだ。

　次にソフトウェア環境におけるコンフリクトの発生を軽減するためだ。ライブラリやサポートコードファイルが変更されていないため、コンフリクトが発生する可能性が小さいながらも存在する。

　この他、オフラインにすることが許されないミッションクリティカルシステムのダウンタイムを避けるため、緊急パッチ適用に伴う時間とコストを削減するため、通常のパッチ適用サイクルを維持するため、といった理由がある。

　最近では、クラウドベースのリモートホストアーキテクチャを採用している場合が多く、企業は自らが管理するデジタル資産へ、直接シームレスにアクセスできないかもしれない。ホスティングプロバイダーやクラウドサービスプロバイダーがデジタル資産の脆弱性にパッチを適用するまでの間、セキュリティを確保するには、仮想パッチが必要だ。

仮想パッチの長所と短所とは

　仮想パッチには長所と短所がそれぞれ2つある。適切なタイミングで仮想パッチを適用すれば、自社と顧客を侵害や不正アクセスから保護できることが長所であり、さらに自社がプロアクティブにセキュリティ対策を講じるプロフェッショナルな組織であることを証明できる。

　短所の1点目は仮想パッチを誤った方法で適用したり、タイミングが遅れたりすると、自社と顧客が厄介な事態に直面する恐れがあることだ。2点目は仮想パッチに適切なリソースを配分しないと、他の重要なプロセスが遅れたり、クラッシュしたりする恐れがあることだ。

仮想パッチのプロセスは6段階に分かれる

　仮想パッチを適用する基本的な手順は一般に6段階に分かれる。

（1）認識　管理者が脆弱性を認識すると、仮想パッチが必要になる。用意された仮想パッチの適用をすぐに開始する場合もある。管理者が脆弱性を認識するのは、WAF（Webアプリケーションファイアウォール）やSIEM（セキュリティ情報およびイベント管理）、IDS（侵入検知システム）、IPS（侵入防止システム）からのアラートを受け取った場合や、重要なアラートのアドバイザリーに従ってプロアクティブな対処を行った場合、ソフトウェアベンダーやハードウェアベンダーからのパッチ情報をチェックした場合などだ。

（2）分析　脅威が検出されたら、管理者は状況を分析し、どのソフトウェアにパッチを適用する必要があるか、どのバージョンのソフトウェアを使用すべきなのかを把握する。

（3）計画策定　全ての情報がそろったら、IPSルールの作成とポリシーのレビュー・強化、デバイスへのパッチ適用について優先順位の設定へ進む。ディザスタリカバリー計画の実装によるクラッシュ対策なども、この段階で策定する。

（4）テスト　全てのシナリオを実行し、全ての穴をふさぎ、システムの堅牢（けんろう）性をチェックする。ダミーネットワーク（またはテスト環境）でこの手順を試すことができれば、理想的だ。全ての準備が整い、パッチ適用を安全に実行できると考えられるまで、この手順を繰り返す。

　テストに使うツールには、WebブラウザやLinuxコマンド、Webアプリケーションスキャナー、セキュリティテストツール、イベントテストツール、侵入テストツールなどがある。

（5）アプリケーションまたは仮想パッチの適用　本番環境で各デバイスやWebサイトにパッチを適用する。この手順に役立つツールについては後述する。

（6）モニタリング　これまでの手順がうまくいっていることを確認する。パフォーマンスやレスポンス時間、サービスデリバリー、プロセスの完了など、全ての変化をモニタリングする。逸脱が見られた場合は調査し、異常と原因を特定する。

仮想パッチに影響する要因は何か

　仮想パッチを成功させるには、注意深く計画を立てる必要がある。そのためのチェックリストを次に示す。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

「コミュニティーから放置されたオープンソース」を利用した商用ソフトウェアが多数　Synopsysが調査レポートを公表
Synopsysは、2021年版「オープンソース・セキュリティ＆リスク分析レポート」を公表した。放置状態になったオープンソースコンポーネントや、4年以上前の旧バージョンのオープンソースコンポーネントが商用ソフトウェアに広く使われていることが明らかになった。
WannaCryも防げたはず。今度こそ「パッチ適用」を徹底しよう
サイバー攻撃が年々高度化、巧妙化している今、企業には一層高度なセキュリティ対策が求められています。日々付き合いがあるベンダー、SIerの意見やアドバイスを参考することも大切ですが、ご自身でも、あらためてセキュリティ対策の基礎を確認してみませんか？
“仮想パッチで攻撃防御×サイバー保険付き”の「サーバ脆弱性対策サービス」――NECが12月から提供開始
NECは、サーバ脆弱性対策にサイバー保険を付帯させた「サーバ脆弱性対策サービス」の提供を開始する。仮想パッチを用いた脆弱性対策をクラウドサービスとして提供するとともに、インシデント対応にかかる費用を補償する。