ゼロトラストでパッチ管理の問題を解消

パッチ管理は、一部のセキュリティ担当者にとっては「とにかくやってみる」という表現がふさわしいでしょう。ネットワークを管理したことのある人であれば誰もが知っているように、パッチ管理はキャッチコピーのようにシンプルではありません。重大な脆弱性を解決するためにパッチを適用する必要があるものの、システムやソフトウェアにパッチを適用できない合理的な理由もあります。例えば、医療機関などの本番システムを長期間にわたってオフラインにすることができない場合などがこれに該当します。従来型のシステムに、パッチを適用すると失われてしまうような依存関係が存在する場合もあります。さらには、パッチそのもので新たな脆弱性が生まれ、IT部門がパッチ レベルを元に戻さなければならなくなる場合もあります。このような背景から、主要なデータ侵害の多くがパッチ未適用だったために発生していた可能性があります。Equifax、WannaCry、英国民健康保険などのデータ侵害はすべて、パッチが適用されていなかったシステムが根本原因となって発生したものです。

既知の脆弱性にパッチを適用しないことは、明示的あるいは暗黙的にリスクを受け入れることになります。しかしながら、リスクが存在することはあらゆる犠牲を払ってリスクを軽減しなければならないことを意味するわけではなく¹、行動するか否かに関連するリスクを責任者が把握あるいは推測し、伝達しなければならないことを意味します。パッチ管理の判断に起因するサイバーセキュリティ リスクが発生した場合、「X」システムの脆弱性によって「Y」が権限のない何者かにリモート アクセスされたり、情報漏洩、サービス拒否、マルウェアの配布などが発生したりする可能性があることを認識する必要があります。しかし、それに先立って必要なのは、パッチ管理のより良い方法をITやセキュリティの担当部門が見つけることです。場当たり的であったり、状況によってやり方を変えたりすると、重要なパッチの適用を忘れたり、パッチが正しく適用されなかったり、未知/予想外/意図しないリスクを不本意ながら受け入れてしまったり、果てはさらに悪い結果を招くことになります。  

そのため、より良いアプローチが求められています。Duo SecurityのアドバイザリーCISOであるDave Lewis氏が述べているように、「企業は、より効果的でスマートなパッチの適用方法を学んで、パッチ適用の品質を向上させ、作業を容易にする必要がある」のです。本記事では、パッチ管理プログラム全体の管理の方法ではなく、ITやセキュリティの担当部門によるパッチ管理戦略の理解に間違いなく役立つゼロトラスト ネットワークの実装について説明します。

今日のネットワークの課題

組織のネットワークは、オンサイトに存在して内部で管理される、フラットなアーキテクチャーではなくなりました。クラウドや仮想環境、BYOD(私用デバイスの業務利用)、分散型ネットワークなどの採用により、ITやセキュリティの部門の業務が大きく変わりました。パッチ管理を始めとするサイバーセキュリティへの取り組みは、今日の動的で自動的にスケーリングされるネットワークの可用性と信頼性に影響する可能性があるため、テクノロジー部門はこの問題に正面から取り組むためのより良い方法を見つける必要があります。

セキュリティ業界に身を置く人であれば、「すべてを1か所にまとめるな」という声をすでに幾度となく聞いたことでしょう。しかしながら、ネットワーク セグメンテーションの実現は困難で時間もコストもかかるプロセスであるため、結果としてセグメンテーション(および新しい「マイクロセグメンテーション」)もパッチ管理と同様に、より簡単に達成できるタスクよりも後回しにされています。事実、過去のプロセスやテクノロジーを使用している場合、セグメンテーションやマイクロセグメンテーションは、特に経験豊富なネットワークの担当者でも頭を抱えるような困難な作業です。しかし、ビジネスに不可欠なシステムやそのシステムに必要なアップデートを効果的な管理できる方法でもあります。

ゼロトラストの採用

ゼロトラストは、従来のネットワークの概念を覆します。ゼロトラストでは、「信頼するが検証する」ことで企業ネットワークへのアクセスを管理する方法ではなく、すべてのトラフィック、ユーザー、アプリケーション、ホストなどの「フィンガープリント」を作成する一連の不変的な属性によって、通信を許可する前に検証します。さらには、アプリ/プロセス/ユーザーなどが検証された場合に付与される信頼は1つの接続にのみ適用されます。ゼロトラスト ネットワークで通信が開始されるたびに、接続を試行している「何か」を再び検証することで、攻撃者が通信を傍受していないこと、攻撃者が承認された制御下に潜んでいないこと、攻撃者がシステムにマルウェアをドロップしていことを確認します。

それではこれが、パッチ管理とどのように関係するのでしょうか。ゼロトラスト ネットワークでは、サーバー、アプリケーション、データベース、ホストなどのすべてのシステムが、最小特権アクセスの原則に基づいて動作します。別のシステムやアプリなどへのアクセスを必要とするシステムやアプリのみが、他のネットワーク接続からの通信を送受信するように自動的に構成されます。これに対し、従来のネットワークではネットワークの最大98％が未使用で管理対象外の通信経路で構成されています。これは、正規のアプリケーションやサービスと悪意のあるトラフィックの両方がこれらの経路を経由して通信できることを意味します。これに対し、ゼロトラストは未使用や不要なものをブロックするため、通信可能な範囲が限定されます。結果として通信するリソースも少なくなり、パッチが適用されていないシステムにエクスプロイトが影響する可能性が低くなります。

さらには、ゼロトラスト ネットワークに向けて作成されたフィンガープリントには製品やデバイスの名前、バージョン、パッチ レベルが含まれているため、システム管理者に対してパッチ管理に関する問題が警告され、組織にとって最良の判断を下せるようになります。例えば、「バージョン2.3のApacheで2.3.35または2.5.17が動作していない場合、接続に対して警告する」というポリシーを実装できます。これらの情報があれば、セキュリティ部門は修正されるまでアプリケーションをセグメンテーションするか(極めて稀な場合)、パッチを適用しないというリスクを受け入れて、その理由を関係者に説明するかを判断できます。²

当然ながら、パッチ管理ツールはネットワークの多様なエコシステムのどこで何が起きているかを理解するのに役立ちますが、パッチの適用前、あるいはパッチの開発前にマルウェアがシステムに侵入した場合にソフトウェアの通信を防止することはできません。重要な資産をゼロトラスト ネットワーク内に隔離することで、パッチが適用されていない脆弱性を悪用される前に発見できます。また、パッチ管理が役に立つのはパッチが存在する場合のみに限られます。この記事で最初に述べたようなゼロデイ攻撃やその他のパッチが提供されていない状況に関連して、Security Weekly Labsの創設者であるAdrian Sanabria氏はApache Strutsのエクスプロイトに関するブログ記事で、組織は「常にゼロデイが存在し、パッチが公開されないことがあることを前提にシステムを設計する必要がある」と述べています。ゼロトラスト ネットワークであれば、パッチ レベルを問わずシステムの強化を実現し、企業が次のEquifaxのような事態に陥るのを防止するために必要なパッチをよりスマートに活用できます。ゼロトラストは、セキュリティ部門が切望する分散型のネットワーク環境のきめ細かな制御を実現すると同時に、不要なリスクや管理されていないリスクを持ち込むことなく、ビジネスを加速させることができます。  

1. Kenna SecurityおよびCyentia Instituteによると、公開された脆弱性の23%は関連するエクスプロイト コードが存在する一方で、実際の攻撃で悪用されるのはその2%未満であるため、従来の修復方法は多くのコストや時間がかかり、非効率的なものとなります。

2. Kenna SecurityとCyentia Instituteの「Prioritization to Prediction」レポートによると、報告されたCVEのどれが悪用されるかを予測するのは困難であり、たとえゼロトラスト環境であっても今後も課題となるとされています。さらには、一部のCVEは公開される前に悪用されてしまうため、どのような手段であっても修復の効果が低下してしまいます。