Zscaler Cloud Platform

ゼロトラストによるパッチ管理の問題の解決

ゼロトラストによるパッチ管理の問題の解決

パッチ管理は一部のセキュリティプロフェッナルにとって、Nikeの「Just Do It」というフレーズに集約されるものですが、ネットワークを管理したことのある人であれば誰もが知っているように、パッチ管理はキャッチコピーのように簡単なものではありません。重大な脆弱性を解決するためにパッチを適用する必要があるものの、システムやソフトウェアにパッチを適用できない合理的な理由もあります。例えば、医療機関などの本番システムを長期間にわたってオフラインにすることができない場合などがこれに該当します。パッチを適用すると失われてしまうような依存関係が古いシステムに存在する場合もあり、さらには、パッチそのもので新たな脆弱性が追加され、ITチームがパッチレベルを元に戻さなければならなくなる場合もあります。このような背景から、広く報道されたデータ侵害の多くが、パッチを適用していなかったために発生していた可能性があります。Equifax、WannaCry、英国民健康保険などのデータ侵害はすべて、パッチが適用されていなかったシステムが根本原因となって発生したものです。

既知の脆弱性にパッチを適用しないことは、明示的あるいは暗黙的にリスクを受け入れることになります。しかしながら、リスクが存在することはあらゆる犠牲を払ってリスクを軽減しなければならないことを意味するわけではなく¹、行動または不作為に関連するリスクを責任者が理解あるいは推測し、伝達しなければならないことを意味します。パッチ管理の判断に起因するサイバーセキュリティリスクが発生した場合、「X」システムの脆弱性によって「Y」が権限のない何者かにリモートアクセスされたり、情報漏洩、サービス拒否、マルウェアの配布などが発生したりする可能性があることを認識する必要があります。しかしながら、それに先立って必要なのは、パッチ管理のより良い方法をITやセキュリティのチームが見つけることです。場当たり的であったり、状況によってやり方を変えたり、重要なパッチの適用を忘れたり、パッチが正しく適用されなかったり、未知/予想外/意図しないリスクを不本意ながら受け入れてしまったりすると、さらに悪い結果を招くことになります。

組織は、より良いアプローチを必要としています。Duo SecurityのアドバイザリCISOであるDave Lewis氏が述べているように、「企業は、より効率的かつ効果的でスマートなパッチの適用方法を学んで、パッチ適用の品質を向上させ、作業を容易にする必要があります」。このブログでは、パッチ管理プログラム全体の管理の「ハウツー」ではなく、ITやセキュリティのチームによるパッチ管理戦略の理解に間違いなく役立つゼロトラストネットワークの実装について説明します。

 

今日のネットワークの課題

組織のネットワークは、オンサイトに存在して内部で管理される、フラットなアーキテクチャではなくなりました。クラウドや仮想環境、BYOD(私用デバイスの業務利用)、分散ネットワークなどの採用により、ITやセキュリティのチームの運用方法が大きく変わりました。パッチ管理を始めとするサイバーセキュリティへの取り組みは、今日の動的で自動スケーリングされるネットワークの可用性と信頼性に影響する可能性があるため、テクノロジチームは、この問題に正面から取り組む、より良い方法を見つける必要があります。

セキュリティ業界に身を置く人には、「すべてを1箇所にまとめるな」という叫び声があちこちから聞こえてくるはずです。しかしながら、ネットワークセグメンテーションの実現は困難で時間もコストもかかるプロセスであるため、結果として、セグメンテーション(および新しい「マイクロセグメンテーション」)もパッチ管理と同様に、より簡単に達成できるタスクの脇に追いやられることになりました。事実、過去のプロセスやテクノロジを使用している場合、セグメンテーションやマイクロセグメンテーションは、最も経験豊富なネットワーキングのプロフェッショナルでも頭を抱えるような困難な作業です。ただし、セグメンテーションがビジネスクリティカルシステムやそのシステムに必要なアップデートの効果的な管理方法であるのは事実です。

 

ゼロトラストの採用

ゼロトラストは、従来のネットワークの概念を覆します。ゼロトラストでは、「信頼するが検証する」ことで企業ネットワークへのアクセスを管理する方法ではなく、すべてのトラフィック、ユーザ、アプリケーション、ホストなどを一連の不変的な属性によって通信を許可する前に検証し、「フィンガープリント」を作成します。さらには、アプリ/プロセス/ユーザなどが検証された場合に付与されるトラストは、1つの接続にのみ適用されゼロトラストネットワークで通信が開始するたびに、接続を試行している「何か」を再び検証することで、攻撃者が通信を傍受していないこと、攻撃者が承認されたコントロールに隠れていないこと、攻撃者がシステムにマルウェアをドロップしていことを確認します。

それではこれが、パッチ管理とどのように関係するのでしょうか。ゼロトラストネットワークでは、サーバ、アプリケーション、データベース、ホストなどのすべてのシステムが、最小特権アクセスの原則に基づいて動作します。別のシステムやアプリなどへのアクセスを必要とするシステムやアプリのみが、他のネットワーク接続からの通信を送受信するように自動的に構成されます。これに対し、従来のネットワークでは、ネットワークの最大98%が、未使用で管理対象外の通信経路で構成されており、これは、正規のアプリケーションやサービスと不正トラフィックの両方がこれらの経路を経由して通信できることを意味します。これに対し、ゼロトラストは未使用や不要なものをブロックするため、通信可能な範囲が限定され、結果として、通信するリソースも少なくなり、パッチが適用されていないシステムにエクスプロイトが影響する可能性が低くなります。

さらには、ゼロトラストネットワークに対して作成されたフィンガープリントに製品やデバイスの名前、バージョン、パッチレベルが含まれているため、システム管理者に対してパッチ管理に関する問題が警告され、組織にとって最良の判断を下せるようになります。例えばセキュリティチームが、「バージョン2.3のApacheで2.3.35または2.5.17が動作していない場合に接続に対して警告する」というポリシーを実装できます。これらの情報があれば、セキュリティチームが、修正されるまでアプリケーションをセグメンテーションするか(このような場合はおそらく稀です)、パッチを適用しないというリスクを受け入れて、その理由を関係者に説明するかを判断できます。²

パッチ管理ツールは当然ながら、組織がネットワークの多様なエコシステムのどこで何が起きているかを理解するのに役立ちますが、パッチが適用される前、あるいはパッチが開発される前にマルウェアがシステムに侵入した場合にソフトウェアの通信を防止することはできません。重要な資産をゼロトラストネットワーク内に隔離することで、パッチが適用されていない脆弱性をエクスプロイトの前に発見できます。さらには、パッチ管理が役に立つのは、パッチが存在する場合だけです。この記事で最初に述べたようなゼロデイ攻撃やその他のパッチが提供されていない状況に関連して、Security Weekly Labsの創設者であるAdrian Sanabria氏はApache Strutsのエクスプロイトに関するブログ記事で、組織は「常にゼロデイが存在し、パッチが公開されないことがあることを前提にシステムを設計する必要がある」と述べています。ゼロトラストネットワーキングであれば、システムの強化をパッチレベルに関係なく実現し、企業が次のEquifaxのような事態に陥るのを防止するために必要なパッチを、よりスマートな方法で入手できます。ゼロトラストは、セキュリティチームが切望する分散ネットワーク環境のきめ細かなコントロールを可能にすると同時に、不要なリスクや管理されていないリスクを持ち込むことなく、ビジネスを加速させることができます。

 

1.Kenna SecurityとCyentia Instituteによると、公開された脆弱性の23%に関連するエクスプロイトコードが存在する一方で、公開された脆弱性で実際の攻撃で悪用されるものは2%未満であり、このことが、従来の修復方法を非常に非効率的でコストも時間もかかるものにしています。

 

2. KennaとCyentiaの「Prioritization to Prediction」レポートによると、報告されたCVEの中でどのCVEがエクスプロイトになるかを予測するのは困難であり、たとえゼロトラスト環境であっても、今後も問題が解消されることはありません。さらには、一部のCVEは公開される前に悪用されてしまうため、どのような手段であっても修復の効果が低下してしまいます。

 

最新のデジタルトランスフォーメーションのヒントやニュースをご覧ください。

送信ボタンをクリックすると、ゼットスケーラーの プライバシーポリシーに同意したものとみなされます。