セキュリティパッチ運用 せきゅりてぃぱっちうんよう
セキュリティパッチ運用とは
セキュリティパッチとは、OS・ミドルウェア・アプリケーションなどのソフトウェアに発見された脆弱性(セキュリティ上の欠陥)を修正するために提供される更新プログラムのことです。そしてセキュリティパッチ運用とは、こうしたパッチを組織のシステム全体に対して、計画的・継続的に適用・管理していく一連のプロセスを指します。
脆弱性が公表されると、攻撃者はその情報をもとに悪用する「エクスプロイト(攻撃コード)」を素早く開発します。パッチ公開から実際の攻撃開始まで数日〜数時間という事例も珍しくなく、いかに迅速かつ確実にパッチを適用できるかが、組織のセキュリティ水準を左右します。
クラウド時代においては、オンプレミスに加えてクラウド上のサーバーやコンテナイメージ、マネージドサービスの設定など、パッチ管理の対象範囲が急拡大しています。自動化ツールやポリシー管理を組み合わせた体系的な運用設計が不可欠です。
パッチ運用のプロセスと全体像
セキュリティパッチ運用は、一度やって終わりではなく、継続するサイクルです。
| フェーズ | 内容 | 担当の目安 |
|---|---|---|
| ①情報収集 | ベンダー・JVN・CVEなどから脆弱性情報を取得 | セキュリティ担当 |
| ②影響評価 | 自社システムへの影響範囲・深刻度を確認(CVSS等) | 情シス・開発 |
| ③優先度付け | 緊急/重要/通常など適用優先度を分類 | 情シス |
| ④テスト適用 | ステージング環境でパッチ動作を確認 | 開発・インフラ |
| ⑤本番適用 | 変更管理手順に従い本番環境へ適用 | インフラ担当 |
| ⑥確認・記録 | 適用後の動作確認とパッチ適用履歴の記録 | 情シス |
深刻度スコア「CVSS」で優先度を決める
CVSS(Common Vulnerability Scoring System)は脆弱性の深刻度を0〜10のスコアで表す国際標準です。スコアが高いほど緊急対応が必要です。
| CVSSスコア | 深刻度 | 対応の目安 |
|---|---|---|
| 9.0〜10.0 | 緊急(Critical) | 公開後24〜72時間以内 |
| 7.0〜8.9 | 重要(High) | 1週間以内 |
| 4.0〜6.9 | 警告(Medium) | 1ヶ月以内 |
| 0.1〜3.9 | 注意(Low) | 次回定期メンテナンス時 |
| 0.0 | なし | 対応不要 |
語呂合わせで覚える運用サイクル「情影テス本確」
情報収集 → 影響評価 → テスト → ステージング確認 → 本番適用 → 確認記録
「情影(じょうえい)テスト、ス本確(すほんかく)」と唱えると流れが頭に入りやすいです!
歴史と背景
- 1988年 — モリスワームが出現。インターネット接続されたシステムのパッチ未適用の脆弱性を悪用した世界初の大規模ワーム事件として記録される
- 2001年 — Code RedワームがIISの脆弱性を悪用して急拡大。パッチは既に公開済みだったが適用が遅れた組織が多数被害
- 2003年 — MicrosoftがWindows Updateを強化。定期パッチ配布の「Patch Tuesday(毎月第2火曜日)」の仕組みが定着
- 2004年 — NIST(米国国立標準技術研究所)がパッチ管理ガイドライン(SP 800-40)を策定
- 2017年 — WannaCryランサムウェアがWindowsのSMB脆弱性(MS17-010)を悪用。パッチ未適用の世界中の組織が被害を受け、パッチ運用の重要性が再認識される
- 2021年 — Log4Shell(CVE-2021-44228)が公開。広範囲に使われるLog4jライブラリの脆弱性で、OSSのパッチ管理の難しさが浮き彫りに
- 現在 — クラウドネイティブ環境ではコンテナイメージのパッチ管理・SBOM(ソフトウェア部品表)活用が主流になりつつある
クラウド環境でのパッチ管理と責任分界
クラウドサービスでは「責任共有モデル」に基づき、パッチ管理の責任範囲が変わります。どこまでがクラウドベンダーの責任で、どこからが自社の責任かを把握することが出発点です。
IaaS(仮想サーバー型)では、OS・ミドルウェア・アプリケーションのパッチは原則として自社で管理する必要があります。AWSのEC2やAzureのVMがこれに該当します。一方、SaaS(クラウドアプリ)ではパッチ管理のほぼすべてをベンダーが担うため、自社の運用負荷は低くなります。
自動化ツールの例:
- AWS Systems Manager Patch Manager — EC2インスタンスのパッチ自動適用
- Azure Update Manager — Azureの仮想マシンのパッチ集中管理
- Ansible / Chef / Puppet — オンプレ・クラウド混在環境でのパッチ自動配布
- Trivy / Snyk — コンテナイメージの脆弱性スキャン
関連する規格・RFC
| 規格・番号 | 内容 |
|---|---|
| NIST SP 800-40 Rev.4 | パッチ管理プロセスのガイドライン(米国国立標準技術研究所) |
| CVE(Common Vulnerabilities and Exposures) | 脆弱性の共通識別番号体系 |
| CVSS v3.1 | 脆弱性深刻度の共通評価システム(FIRST管理) |
| ISO/IEC 27001 | 情報セキュリティマネジメントシステム(パッチ管理を含む) |
関連用語
- 脆弱性管理 — システムの弱点(脆弱性)を発見・評価・対処する一連のプロセス
- CVE・CVSS — 脆弱性の共通識別番号と深刻度スコアの国際標準
- 変更管理 — ITシステムへの変更を計画・承認・記録するITILのプロセス
- 責任共有モデル — クラウドでのセキュリティ責任範囲をベンダーと利用者で分担する考え方
- 構成管理データベース(CMDB) — 組織内のITシステム構成情報を一元管理するデータベース
- SBOM(ソフトウェア部品表) — ソフトウェアに含まれるコンポーネントを可視化する部品リスト
- ゼロデイ攻撃 — パッチ未公開の脆弱性を突く攻撃手法
- ランサムウェア — ファイルを暗号化して身代金を要求するマルウェアの一種