マイクロソフトとNISTが協力、企業のパッチ適用ガイドを策定へ

Catalin Cimpanu (ZDNET.com) 翻訳校正: 編集部

2019-10-15 13:07

 Microsoftと米国の国立標準技術研究所(NIST)は、企業のセキュリティパッチの適用に関するNISTのガイドの策定を進めている。

 両者は他の利害関係者に対して、この策定中の文書作業への参加を求める呼びかけを始めた。このプロジェクトには、製品を提供する側のベンダーも、ユーザーとしてパッチの適用に関わる知見を持っている企業や個人も参加できる。

 作成された文書は、システム管理者が社内のセキュリティパッチ適用基準の策定や改善を行うために利用できる、「Special Publication 1800」シリーズのNISTの標準として公開される。

 このガイドは、業界ガイドラインを策定する米国の政府機関であるNISTが定めるものであり、今後大きな影響を与えると予想される。

きっかけは2017年のランサムウェアの流行

 このMicrosoftとNISTの協力関係は、2018年にスタートした「Critical Cybersecurity Hygiene: Patching the Enterprise Project」(PDFホームページ)と名付けられたプロジェクトから始まった。

 この活動の開始にあたっては、Microsoftが大きな役割を果たした。同社は、2017年に3つのランサムウェア(「WannaCry」「NotPetya」「Bad Rabbit」)が流行したのを受け、企業が社内のコンピュータにどのようにセキュリティパッチを適用しているかについて調査し始めたという。

 Microsoftは、被害を受けた企業の多くは、セキュリティパッチが入手可能であったにもかかわらず、パッチをインストールしていなかったと述べている。同社は、それらの企業がなぜシステムにパッチを適用しなかったのかを調査した。

 Microsoftのサイバーセキュリティソリューショングループでリードサイバーセキュリティアーキテクトを務めるMark Simos氏は、「調査過程では、顧客と直接会って、顧客が抱えている課題について耳を傾ける作業が重要な役割を果たした」と述べている

セキュリティパッチの適用に対する企業のアプローチはさまざま

 聞き取りによって、セキュリティパッチの適用に対するアプローチは企業によって大きく異なっており、その結果としてパッチの適用の遅れが発生していたことが明らかになった。

 聞き取りで明らかになった大きな原因の1つは、多くの企業がパッチをテストする手順を定めておらず、バグやクラッシュによって本番稼働システムにダウンタイムが発生するのを避けるために適用作業を遅らせていたことだった。

 Simos氏は、中にはパッチのテスト手順が「オンラインフォーラムでそのパッチを適用して問題があった人がいないかを尋ねる」ことだけだった企業もあったと述べている。

 また一部の企業は、パッチをどれだけ早く適用すべきかを把握しておらず、自分たちの基準に従ってセキュリティパッチの重要性を解釈・判断していた。

 調査の結果、Microsoftは企業環境のパッチ適用プロセスを整えるためには、業界標準が必要だという結論に至ったという。

 このガイドの策定スケジュールは定められていないが、NISTのガイドが最初から業界の大手企業の支援を受けて策定されるケースは非常にまれであるため、策定作業は迅速に進むとみられる。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    セキュリティ担当者に贈る、従業員のリテラシーが測れる「情報セキュリティ理解度チェックテスト」

  2. セキュリティ

    サイバー攻撃の“大規模感染”、調査でみえた2024年の脅威動向と課題解決策

  3. セキュリティ

    従業員のセキュリティ教育の成功に役立つ「従業員教育ToDoリスト」10ステップ

  4. セキュリティ

    IoTデバイスや重要インフラを標的としたサイバー攻撃が増加、2023年下半期グローバル脅威レポート

  5. セキュリティ

    急増する工場システムへのサイバー攻撃、現場の課題を解消し実効性あるOTセキュリティを実現するには

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]