「仮想パッチ」は通常のパッチと何が異なるのか:ネットワークレベルでエンドポイントの脆弱性に対処
仮想パッチは脆弱性パッチの一種だが、脆弱性のあるソフトウェアへ直接パッチを当てるのではなく、ネットワークレベルで脆弱性に対応する。Compritech.comによれば、ネットワークやシステムの管理者は業務の一環として仮想パッチに取り組むべきだという。
比較サイトComparitech.comは2021年6月6日、同社のWebサイトで仮想パッチについて解説した。仮想パッチを重要なサイバー攻撃対策と位置付け、ネットワークやシステムの管理者に対し、業務の一環として取り組むよう勧めている。
仮想パッチの主な目的と機能、必要性、長所、短所、実行プロセス、注意点、ツールの要件を説明し、3種類の主要なツールを紹介した。
仮想パッチとは何か
仮想パッチは通常のパッチと同様に、ソフトウェアの脆弱(ぜいじゃく)性を解消するプロセスだ。だが、個々のエンドポイントごとにソフトウェアへパッチを適用するのではなく、エンドポイントの脆弱性の悪用をネットワークレベルで防止する。
仮想パッチではデータパケットとトラフィックを分析し、脆弱性の悪用を防止するセキュリティポリシーレイヤーをネットワークに展開する。仮想パッチソリューションが効果を発揮するには、「ディープパケットインスペクション」「防止」「デプロイ可能性」という3つの要素が必要になる。
- ディープパケットインスペクション
Webとネットワークトラフィックのパケットを検査し、悪意あるパケットやアクティビティーを特定する - 防止
特定後、意図された宛先ホストに到達する前に破壊する - デプロイ可能性
クラウドとオンプレミスネットワークアーキテクチャの両方で実行できる
なぜ仮想パッチが必要なのか
仮想パッチが必要な理由は幾つかある。まず、ベンダーから脆弱性を修正するパッチが提供されるまで、あるいはパッチをテストしている間、脆弱性の悪用による攻撃や侵害を防ぐためだ。
次にソフトウェア環境におけるコンフリクトの発生を軽減するためだ。ライブラリやサポートコードファイルが変更されていないため、コンフリクトが発生する可能性が小さいながらも存在する。
この他、オフラインにすることが許されないミッションクリティカルシステムのダウンタイムを避けるため、緊急パッチ適用に伴う時間とコストを削減するため、通常のパッチ適用サイクルを維持するため、といった理由がある。
最近では、クラウドベースのリモートホストアーキテクチャを採用している場合が多く、企業は自らが管理するデジタル資産へ、直接シームレスにアクセスできないかもしれない。ホスティングプロバイダーやクラウドサービスプロバイダーがデジタル資産の脆弱性にパッチを適用するまでの間、セキュリティを確保するには、仮想パッチが必要だ。
仮想パッチの長所と短所とは
仮想パッチには長所と短所がそれぞれ2つある。適切なタイミングで仮想パッチを適用すれば、自社と顧客を侵害や不正アクセスから保護できることが長所であり、さらに自社がプロアクティブにセキュリティ対策を講じるプロフェッショナルな組織であることを証明できる。
短所の1点目は仮想パッチを誤った方法で適用したり、タイミングが遅れたりすると、自社と顧客が厄介な事態に直面する恐れがあることだ。2点目は仮想パッチに適切なリソースを配分しないと、他の重要なプロセスが遅れたり、クラッシュしたりする恐れがあることだ。
仮想パッチのプロセスは6段階に分かれる
仮想パッチを適用する基本的な手順は一般に6段階に分かれる。
(1)認識 管理者が脆弱性を認識すると、仮想パッチが必要になる。用意された仮想パッチの適用をすぐに開始する場合もある。管理者が脆弱性を認識するのは、WAF(Webアプリケーションファイアウォール)やSIEM(セキュリティ情報およびイベント管理)、IDS(侵入検知システム)、IPS(侵入防止システム)からのアラートを受け取った場合や、重要なアラートのアドバイザリーに従ってプロアクティブな対処を行った場合、ソフトウェアベンダーやハードウェアベンダーからのパッチ情報をチェックした場合などだ。
(2)分析 脅威が検出されたら、管理者は状況を分析し、どのソフトウェアにパッチを適用する必要があるか、どのバージョンのソフトウェアを使用すべきなのかを把握する。
(3)計画策定 全ての情報がそろったら、IPSルールの作成とポリシーのレビュー・強化、デバイスへのパッチ適用について優先順位の設定へ進む。ディザスタリカバリー計画の実装によるクラッシュ対策なども、この段階で策定する。
(4)テスト 全てのシナリオを実行し、全ての穴をふさぎ、システムの堅牢(けんろう)性をチェックする。ダミーネットワーク(またはテスト環境)でこの手順を試すことができれば、理想的だ。全ての準備が整い、パッチ適用を安全に実行できると考えられるまで、この手順を繰り返す。
テストに使うツールには、WebブラウザやLinuxコマンド、Webアプリケーションスキャナー、セキュリティテストツール、イベントテストツール、侵入テストツールなどがある。
(5)アプリケーションまたは仮想パッチの適用 本番環境で各デバイスやWebサイトにパッチを適用する。この手順に役立つツールについては後述する。
(6)モニタリング これまでの手順がうまくいっていることを確認する。パフォーマンスやレスポンス時間、サービスデリバリー、プロセスの完了など、全ての変化をモニタリングする。逸脱が見られた場合は調査し、異常と原因を特定する。
仮想パッチに影響する要因は何か
仮想パッチを成功させるには、注意深く計画を立てる必要がある。そのためのチェックリストを次に示す。
- スコープを設定する
保護すべきデータは中央に保存されているか、複数のネットワークセグメントに分散されているか - 全ての脆弱な資産をカバーするために、アーキテクチャを把握する
ネットワーク構成はどうなっているのか、ネットワーク内のデータフローはどのようなものか - 関連するベンダーと技術を把握する
ネットワークでどのようなハードウェアとアプリケーションが動作しているか、マルチベンダーのシステムがあるか - OSを把握する
ネットワークでWindowsやUNIX、Linuxが実行されているか、あるいはこれらが組み合わされているか - 資産の操作に必要なアクセスと権限を把握する
ネットワークはローカルで管理されているか、サードパーティーのセキュリティプロバイダーにアウトソースされているか - 仮想パッチチームの実力を考慮する
仮想パッチシステムは、従業員が運用するか、セキュリティサービスプロバイダーが管理するか
仮想パッチツールの要件とは
仮想パッチツールには、幾つかの要件が求められる。まず、エンドツーエンドの可視性だ。アーキテクチャ全体はもちろん、プロセスやサービス、自社が使っているハードウェアをカバーする必要がある。
次に正確さだ。幅広い最新の脆弱性を特定できるように、大規模データベースを利用できる必要がある。
自動パッチ機能も必要だ。自動的に適切なパッチを送信し、インストール、適用できる必要がある。
この他、パッチが必要なときに、管理者がいつでもリモートからアクセスできる必要や、パッチが成功したかどうかをテストできる必要がある。最後に価格や機能、要件のバランスが取れた選択を下す必要がある。
仮想パッチツール3選
Comparitech.comは代表的な仮想パッチツールを3つ選び、それぞれの内容を紹介した。
- Patch Manger
SolarWindsの「Patch Manager」は企業ネットワーク管理者向けの仮想パッチツール。SolarWindsはネットワークとサーバの管理、モニタリングツールのベンダーだ。
機能面での特徴は4つあるとした。まず、電源を落としたマシンにもパッチを適用できる。次に単一のダッシュボードで使用可能なパッチと欠けているパッチ、アーキテクチャ全体の健全性を確認できる。さらにVMwareのようなサードパーティーソフトウェアを自動的に配信、更新する機能がある。最後にインベントリやレポート、調査、スケジューリング機能を簡単に利用できる。
Patch Managerには試用版があり、全ての機能を30日間無料で利用できる。
- ManageEngine Patch Manager Plus
Zohoの「ManageEngine Patch Manager Plus」は機能が豊富な仮想パッチツールだ。複数のOSや多数のサードパーティーソフトウェアを使用する大規模アーキテクチャに適しているという。
機能面での特徴は5つある。まず、クラウドまたはオンプレミスインフラに展開できることだ。次に一般的な作業環境で日常的に使われる人気のあるアプリケーション(Adobe Systemsの製品やWinRARなど)にパッチを適用できる。
要件に合わせて展開ポリシーを簡単にカスタマイズできる点や、洞察に富んだパッチレポートを提供できる点、構築やテスト済みのすぐに展開できるパッチパッケージを利用できることも特徴だ。
ManageEngine Patch Manager Plusは、30日間無料で試用できる。
- Avast Business Patch Management
Avast Softwareの「Avast Business Patch Management」はWindows製品を使用するビジネスアーキテクチャ向けの仮想パッチツールだ。Avast Softwareはウイルス対策とセキュリティツールを手掛ける企業。管理者はリモートから資産を保護できる。
主な機能は4つある。まず数千台のマシンに数分でパッチを適用できることだ。次にMicrosoft製品に加え、Oracle、Apple、Adobe Systemsなどのオフィスツールにもパッチを適用できる。
どこからでも資産にアクセスできることも特徴だ。最後に使いやすく、洞察に富んだ統合型ダッシュボードから全てを管理し、モニタリングできる。このダッシュボードは、パッチ適用や更新プログラムの検出、配布、レポート機能をカバーする。
Avast Business Patch Managementは、30日間無料で試用できる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「コミュニティーから放置されたオープンソース」を利用した商用ソフトウェアが多数 Synopsysが調査レポートを公表
Synopsysは、2021年版「オープンソース・セキュリティ&リスク分析レポート」を公表した。放置状態になったオープンソースコンポーネントや、4年以上前の旧バージョンのオープンソースコンポーネントが商用ソフトウェアに広く使われていることが明らかになった。
WannaCryも防げたはず。今度こそ「パッチ適用」を徹底しよう
サイバー攻撃が年々高度化、巧妙化している今、企業には一層高度なセキュリティ対策が求められています。日々付き合いがあるベンダー、SIerの意見やアドバイスを参考することも大切ですが、ご自身でも、あらためてセキュリティ対策の基礎を確認してみませんか?
“仮想パッチで攻撃防御×サイバー保険付き”の「サーバ脆弱性対策サービス」――NECが12月から提供開始
NECは、サーバ脆弱性対策にサイバー保険を付帯させた「サーバ脆弱性対策サービス」の提供を開始する。仮想パッチを用いた脆弱性対策をクラウドサービスとして提供するとともに、インシデント対応にかかる費用を補償する。