パッチ管理は、一部のセキュリティ担当者にとっては「とにかくやってみる」という表現がふさわしいでしょう。ネットワークを管理したことのある人であれば誰もが知っているように、パッチ管理はキャッチコピーのようにシンプルではありません。重大な脆弱性を解決するためにパッチを適用する必要があるものの、システムやソフトウェアにパッチを適用できない合理的な理由もあります。例えば、医療機関などの本番システムを長期間にわたってオフラインにすることができない場合などがこれに該当します。従来型のシステムに、パッチを適用すると失われてしまうような依存関係が存在する場合もあります。さらには、パッチそのもので新たな脆弱性が生まれ、IT部門がパッチレベルを元に戻さなければならなくなる場合もあります。このような背景から、主要なデータ侵害の多くがパッチ未適用だったために発生していた可能性があります。Equifax、WannaCry、英国民健康保険などのデータ侵害はすべて、パッチが適用されていなかったシステムが根本原因となって発生したものです。

既知の脆弱性にパッチを適用しないことは、明示的あるいは暗黙的にリスクを受け入れることになります。しかしながら、リスクが存在することはあらゆる犠牲を払ってリスクを軽減しなければならないことを意味するわけではなく¹、行動するか否かに関連するリスクを責任者が把握あるいは推測し、伝達しなければならないことを意味します。パッチ管理の判断に起因するサイバーセキュリティリスクが発生した場合、「X」システムの脆弱性によって「Y」が権限のない何者かにリモートアクセスされたり、情報漏洩、サービス拒否、マルウェアの配布などが発生したりする可能性があることを認識する必要があります。しかし、それに先立って必要なのは、パッチ管理のより良い方法をITやセキュリティの担当部門が見つけることです。場当たり的であったり、状況によってやり方を変えたりすると、重要なパッチの適用を忘れたり、パッチが正しく適用されなかったり、未知/予想外/意図しないリスクを不本意ながら受け入れてしまったり、果てはさらに悪い結果を招くことになります。

そのため、より良いアプローチが求められています。Duo SecurityのアドバイザリーCISOであるDave Lewis氏が述べているように、「企業は、より効果的でスマートなパッチの適用方法を学んで、パッチ適用の品質を向上させ、作業を容易にする必要がある」のです。本記事では、パッチ管理プログラム全体の管理の方法ではなく、ITやセキュリティの担当部門によるパッチ管理戦略の理解に間違いなく役立つゼロトラストネットワークの実装について説明します。

今日のネットワークの課題

組織のネットワークは、オンサイトに存在して内部で管理される、フラットなアーキテクチャーではなくなりました。クラウドや仮想環境、BYOD(私用デバイスの業務利用)、分散型ネットワークなどの採用により、ITやセキュリティの部門の業務が大きく変わりました。パッチ管理を始めとするサイバーセキュリティへの取り組みは、今日の動的で自動的にスケーリングされるネットワークの可用性と信頼性に影響する可能性があるため、テクノロジー部門はこの問題に正面から取り組むためのより良い方法を見つける必要があります。

セキュリティ業界に身を置く人であれば、「すべてを1か所にまとめるな」という声をすでに幾度となく聞いたことでしょう。しかしながら、ネットワークセグメンテーションの実現は困難で時間もコストもかかるプロセスであるため、結果としてセグメンテーション(および新しい「マイクロセグメンテーション」)もパッチ管理と同様に、より簡単に達成できるタスクよりも後回しにされています。事実、過去のプロセスやテクノロジーを使用している場合、セグメンテーションやマイクロセグメンテーションは、特に経験豊富なネットワークの担当者でも頭を抱えるような困難な作業です。しかし、ビジネスに不可欠なシステムやそのシステムに必要なアップデートを効果的な管理できる方法でもあります。

ゼロトラストの採用

ゼロトラストは、従来のネットワークの概念を覆します。ゼロトラストでは、「信頼するが検証する」ことで企業ネットワークへのアクセスを管理する方法ではなく、すべてのトラフィック、ユーザー、アプリケーション、ホストなどの「フィンガープリント」を作成する一連の不変的な属性によって、通信を許可する前に検証します。さらには、アプリ/プロセス/ユーザーなどが検証された場合に付与される信頼は1つの接続にのみ適用されます。ゼロトラストネットワークで通信が開始されるたびに、接続を試行している「何か」を再び検証することで、攻撃者が通信を傍受していないこと、攻撃者が承認された制御下に潜んでいないこと、攻撃者がシステムにマルウェアをドロップしていことを確認します。

それではこれが、パッチ管理とどのように関係するのでしょうか。ゼロトラストネットワークでは、サーバー、アプリケーション、データベース、ホストなどのすべてのシステムが、最小特権アクセスの原則に基づいて動作します。別のシステムやアプリなどへのアクセスを必要とするシステムやアプリのみが、他のネットワーク接続からの通信を送受信するように自動的に構成されます。これに対し、従来のネットワークではネットワークの最大98％が未使用で管理対象外の通信経路で構成されています。これは、正規のアプリケーションやサービスと悪意のあるトラフィックの両方がこれらの経路を経由して通信できることを意味します。これに対し、ゼロトラストは未使用や不要なものをブロックするため、通信可能な範囲が限定されます。結果として通信するリソースも少なくなり、パッチが適用されていないシステムにエクスプロイトが影響する可能性が低くなります。

さらには、ゼロトラストネットワークに向けて作成されたフィンガープリントには製品やデバイスの名前、バージョン、パッチレベルが含まれているため、システム管理者に対してパッチ管理に関する問題が警告され、組織にとって最良の判断を下せるようになります。例えば、「バージョン2.3のApacheで2.3.35または2.5.17が動作していない場合、接続に対して警告する」というポリシーを実装できます。これらの情報があれば、セキュリティ部門は修正されるまでアプリケーションをセグメンテーションするか(極めて稀な場合)、パッチを適用しないというリスクを受け入れて、その理由を関係者に説明するかを判断できます。²

当然ながら、パッチ管理ツールはネットワークの多様なエコシステムのどこで何が起きているかを理解するのに役立ちますが、パッチの適用前、あるいはパッチの開発前にマルウェアがシステムに侵入した場合にソフトウェアの通信を防止することはできません。重要な資産をゼロトラストネットワーク内に隔離することで、パッチが適用されていない脆弱性を悪用される前に発見できます。また、パッチ管理が役に立つのはパッチが存在する場合のみに限られます。この記事で最初に述べたようなゼロデイ攻撃やその他のパッチが提供されていない状況に関連して、Security Weekly Labsの創設者であるAdrian Sanabria氏はApache Strutsのエクスプロイトに関するブログ記事で、組織は「常にゼロデイが存在し、パッチが公開されないことがあることを前提にシステムを設計する必要がある」と述べています。ゼロトラストネットワークであれば、パッチレベルを問わずシステムの強化を実現し、企業が次のEquifaxのような事態に陥るのを防止するために必要なパッチをよりスマートに活用できます。ゼロトラストは、セキュリティ部門が切望する分散型のネットワーク環境のきめ細かな制御を実現すると同時に、不要なリスクや管理されていないリスクを持ち込むことなく、ビジネスを加速させることができます。