セキュリティパッチ適用による脆弱性対策の課題
サイバーセキュリティと聞くと、アンチウイルスやファイアウォールを思い浮かべる方も多いと思いますが、同じぐらい重要な対策にオペレーションシステム(OS)や利用しているアプリケーションを最新に保ち、脆弱性を用いた攻撃を未然に防ぐセキュリティパッチマネジメントがあります。
2017年5月に世界中で大流行したランサムウェアWannaCryも、端末から端末への横感染はWindows OSの脆弱性を利用して行われていました。
この時に使われた脆弱性の対策パッチは同じ2017年3月にマイクロソフト社から提供されているにもかかわらず、対策パッチが適用されていない端末が多く残っていたことで瞬く間に感染が広がり最終的に40億ドルもの被害が出たと言われています。
セキュリティパッチマネジメントの重要性を知っている場合でも、実際の運用においてOSやアプリを最新に保つには課題が多い状況です。
セキュリティパッチ適用に関わるよくある課題
- 緊急対策が必要な脆弱性情報を把握するスキル、時間が無い。
- セキュリティパッチ適用に必要な情報収集・セキュリティパッチ配布に時間が取られる。
- セキュリティパッチの適応状況の把握ができず、正しく当たっているか分からない。
LANSCOPEでセキュリティパッチ適用情報把握の課題を解決
緊急対策が必要な脆弱性情報を把握できていない(時間がない)。
LANSCOPEが最新のパッチリリース情報を調査!対策が必要なセキュリティパッチ情報をダッシュボードで配信。
パッチマネジメントの課題の一つに、日々の業務に追われる中で脆弱性に関する情報収集を行う時間が取れないという点があります。脆弱性情報は日々更新されており、1ヵ月に数百から数千件が登録されることも珍しくありません。脆弱性管理の専任チームがあれば良いですが多くは日々の業務の中でパッチマネジメントを行う必要があり、膨大な数の脆弱性から自社で利用しているOSやアプリに対応した脆弱性の情報収集と対策の実施を行う時間の確保が課題になっています。
LANSCOPE エンドポイントマネージャー は、そんな時間のない管理者の方の代わりに情報を取得することで管理者のパッチマネジメントを支援します。 Windows OSや Adobe製品といった攻撃者が良く使うOS、アプリを対象にパッチ情報を日々確認。最新版の提供を確認すると実際に内容を調査し エンドポイントマネージャー のデータベースに情報を登録します。エンドポイントマネージャー 利用者のダッシュボードは最新のパッチ情報があればデータを更新しパッチ未適応の端末を赤色で表示することで、管理者の皆様が情報を取得する時間が無くてもパッチが当たっていない危険な状態の端末をお伝えします。
セキュリティパッチ適用に必要な情報収集・セキュリティパッチ配布に時間が取られる。
パッチ対策に必要なすべての情報を収集して管理者に通知!
新しいパッチが配信されたことを知ったとしても、実際に適用するプログラムの取得や情報の確認に時間が取られます。アプリによっては英語のサイトを確認する必要もあり、それだけで数十分から1時間以上かかる場合も多くあります。
LANSCOPE エンドポイントマネージャー のダッシュボードは最新パッチ情報の確認だけでなく、配布するパッチのダウンロードサイトや説明サイトのリンクも登録するので、管理者は情報を調べる時間無しでクリックだけでパッチの配信が可能になりパッチマネジメントに必要な時間を劇的に減らします。 また、Windows OSのパッチ等はパッチ適用後に不具合が発生し端末が動かないなどのトラブルが発生する場合もあるため、事前に管理者の端末などでテストを行う場合もあります。エンドポイントマネージャー のダッシュボードはWindows OSのパッチ配信前に実際に端末にパッチを適用して致命的な不具合が出ないか検証を行っており、万が一致命的な不具合が出た場合は詳細を確認しています。
セキュリティパッチの適応状況の把握ができず、正しく当たっているか分からない。
組織ごとや特定のセキュリティパッチ(更新プログラム)単位で適用状況を確認。未適用端末にはセキュリティパッチの再配信で適用漏れを防ぎます。
Windows Updateを行うために、Windows Server Update Services(以下 WSUS)を利用した更新プログラムの配信や、利用者にアップデートの声掛けを行うなど色々な工夫をされていると思います。 一方で、WSUSでは対策パッチ単位での適用状況の確認はできますが、運用で必要となる下記のようなシーンには課題があります。
- “最新”の状態になっている端末 / いない端末を簡単に確認できない
- 営業部のWindows 10端末の適用状況の確認、など組織構成やOS単位などの確認が簡単にできない
- パッチが当たっていない特定の端末に対する、パッチの個別配信ができない
LANSCOPE エンドポイントマネージャー のダッシュボードでは、エンドポイントマネージャー で管理している組織情報を元に特定部門でのパッチ適用状況の確認や、各種フィルタ条件を元にした適用状況の確認が簡単にできるため、配信したパッチの適用が進んでいるのか、優先して当てるべき端末にパッチがあっているのか、を確認できます。 また、優先してパッチ適用すべき端末が古い状態の場合は、対象端末を選択してパッチを配布することで、特定の端末に必要な対策を素早く行う事ができ、脆弱性を悪用したサイバー攻撃から会社・組織を守ります。