セキュリティパッチ管理とは｜脆弱性対策 | london3.jp

概要

セキュリティパッチ管理とは、OS・ソフトウェア・機器の脆弱性を修正する更新プログラム（パッチ）を、適切かつ速やかに適用する取り組みです。脆弱性を放置すると、そこを突かれて侵入・感染される危険があるため、極めて重要な基本対策です。

多くのサイバー攻撃は「既知の脆弱性のパッチ未適用」を突いて成功します。ランサムウェアやワームの感染拡大も、パッチ未適用が大きな原因です。「すぐ直す」ことが防御の要となります。

詳細（重要性・脆弱性管理）

パッチ管理は、より広い脆弱性管理の一部です。脆弱性管理は次のサイクルで行います。

自組織の資産（OS・ソフト）を把握する。
公開される脆弱性情報を収集する（JVN・ベンダー情報など）。
影響度を評価し、優先順位をつけてパッチを適用する。
適用状況を確認・記録する。

パッチ管理のキーワードは「脆弱性を修正する更新を速やかに適用」。多くの攻撃は既知の脆弱性のパッチ未適用を突く点が頻出。ゼロデイ攻撃はパッチ提供前を突くため、別途多層防御が必要です。

適用のポイント・注意点

重要度の高い脆弱性のパッチは優先的に・速やかに適用する。
適用前に検証環境でテストし、業務への影響（不具合）を確認する。
VPN機器・サーバなど、攻撃に狙われやすい機器を特に重視する。
サポート終了（EOL）製品は脆弱性が修正されないため、計画的に更新・移行する。

「パッチを当てると不具合が出るかも」という理由で放置すると、攻撃の的になります。検証と適用のバランスをとりつつ、重要なパッチは迅速に当てる体制が大切です。攻撃者はパッチ公開直後を狙ってきます。

インシデント事例

ランサムウェア「WannaCry」は、修正パッチが公開済みだったWindowsの脆弱性を、パッチ未適用の端末で突いて世界中に感染拡大しました。また、VPN機器の既知の脆弱性のパッチ未適用が、国内の病院・企業へのランサムウェア侵入口になった事例が多数あります。

試験での問われ方

「脆弱性を修正する更新プログラムを適用する対策はどれか」→ セキュリティパッチ管理。
「多くのサイバー攻撃が突く弱点はどれか」→ 既知の脆弱性のパッチ未適用。
「パッチ適用前に行うべきことはどれか」→ 検証環境でのテスト。