マイクロソフトとNISTが協力、企業のパッチ適用ガイドを策定へ

Catalin Cimpanu (ZDNET.com) 翻訳校正: 編集部

2019-10-15 13:07

 Microsoftと米国の国立標準技術研究所(NIST)は、企業のセキュリティパッチの適用に関するNISTのガイドの策定を進めている。

 両者は他の利害関係者に対して、この策定中の文書作業への参加を求める呼びかけを始めた。このプロジェクトには、製品を提供する側のベンダーも、ユーザーとしてパッチの適用に関わる知見を持っている企業や個人も参加できる。

 作成された文書は、システム管理者が社内のセキュリティパッチ適用基準の策定や改善を行うために利用できる、「Special Publication 1800」シリーズのNISTの標準として公開される。

 このガイドは、業界ガイドラインを策定する米国の政府機関であるNISTが定めるものであり、今後大きな影響を与えると予想される。

きっかけは2017年のランサムウェアの流行

 このMicrosoftとNISTの協力関係は、2018年にスタートした「Critical Cybersecurity Hygiene: Patching the Enterprise Project」(PDFホームページ)と名付けられたプロジェクトから始まった。

 この活動の開始にあたっては、Microsoftが大きな役割を果たした。同社は、2017年に3つのランサムウェア(「WannaCry」「NotPetya」「Bad Rabbit」)が流行したのを受け、企業が社内のコンピュータにどのようにセキュリティパッチを適用しているかについて調査し始めたという。

 Microsoftは、被害を受けた企業の多くは、セキュリティパッチが入手可能であったにもかかわらず、パッチをインストールしていなかったと述べている。同社は、それらの企業がなぜシステムにパッチを適用しなかったのかを調査した。

 Microsoftのサイバーセキュリティソリューショングループでリードサイバーセキュリティアーキテクトを務めるMark Simos氏は、「調査過程では、顧客と直接会って、顧客が抱えている課題について耳を傾ける作業が重要な役割を果たした」と述べている

セキュリティパッチの適用に対する企業のアプローチはさまざま

 聞き取りによって、セキュリティパッチの適用に対するアプローチは企業によって大きく異なっており、その結果としてパッチの適用の遅れが発生していたことが明らかになった。

 聞き取りで明らかになった大きな原因の1つは、多くの企業がパッチをテストする手順を定めておらず、バグやクラッシュによって本番稼働システムにダウンタイムが発生するのを避けるために適用作業を遅らせていたことだった。

 Simos氏は、中にはパッチのテスト手順が「オンラインフォーラムでそのパッチを適用して問題があった人がいないかを尋ねる」ことだけだった企業もあったと述べている。

 また一部の企業は、パッチをどれだけ早く適用すべきかを把握しておらず、自分たちの基準に従ってセキュリティパッチの重要性を解釈・判断していた。

 調査の結果、Microsoftは企業環境のパッチ適用プロセスを整えるためには、業界標準が必要だという結論に至ったという。

 このガイドの策定スケジュールは定められていないが、NISTのガイドが最初から業界の大手企業の支援を受けて策定されるケースは非常にまれであるため、策定作業は迅速に進むとみられる。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]