見出し画像

企業のソフトウェア脆弱性管理の悩みを解決するためのガイド「企業におけるパッチ管理計画ガイド」を紹介します。(後編)

サイボウズのセキュリティ室


前編では、パッチ管理が困難な状況となっていることの原因を明らかにし、パッチ管理の理想を示し、パッチ管理計画の策定が必要であることをまとめました。後編では、パッチ管理計画のガイドの中身について紹介します。
前編はこちら ↓


方針

パッチ適用について、意思決定を簡素化しつつ、パッチ適用によるトラブルを回避するための、テスト作業の自動化と、カナリア リリースを活用することが方針となっています。

カナリア リリースとは?

リリース手法の1つで、いきなり全体に適用するのではなく、適用する対象を一部の利用者に絞りテストを行い、基準を満たした場合に全体に展開するリリース手法です。炭鉱のガス漏れ検知のためにカナリアを持ち込んだことが由来とのことです。

[PR]
cybozu.com では、サイボウズ自身で利用している環境をカナリアリリース適用対象として活用することで、安定的にパッチ適用しています。

パッチ適用対象を整理

パッチを適用する対象が多くなりすぎると、パッチ管理もままなりません。利用しているソフトウェアを把握し、利用していないソフトウェアは削除しましょう。多数のユーザが長期利用し、脆弱性の報告が落ち着いている枯れたソフトウェアを利用しましょう。パッチの適用が不要なマネージドサービスや、SaaS などのクラウドサービスの利用を検討しましょう。

パッチマネジメント計画

ソフトウェアの台帳管理

利用しているソフトウェアとそのバージョンを洗い出して、台帳管理しましょう。その際に、ビジネス特性も含めて管理しましょう。停止の許容性や、停止した場合のビジネス上のリスク、保管している情報の重要性などを管理しておくとよいでしょう。できれば、台帳の生成は自動化するのが望ましいです。

メンテナンス グループに分ける

同じメンテナンス特性を持つグループにソフトウェア資産を分類しましょう。停止の許容性、パッチ前のテスト実施の要否、ビジネスに与える影響ごとに分類をします。以下、グループの例です。

  • 従業員向けラップトップ

    • 停止の許容性:比較的緩い

    • 既存の緩和策:エンドポイントセキュリティ製品

    • 侵害時の影響:中

  • 社内システムDC

    • 停止の許容性:事前に計画されていれば問題なし

    • 既存の緩和策:ネットワークの分離

    • 侵害時の影響:高

グループごとにシナリオを策定

シナリオとは、緊急・定例のパッチが提供されたなど、脆弱性に関して、何らかの情報を得た状況を想定したものです。

シナリオ例

  • 定例のパッチが提供された

  • 緊急のパッチが提供された

  • 緊急の緩和策の情報が提供された

シナリオが発生した場合に必要なアクションを、計画に記載していくことになります。
※本ガイドでは、シナリオと計画の例が簡単に記載されていますが、シナリオと計画をより具体的かつ詳細に記載することが、脆弱性管理をうまく進めることにつながると思います。自動テストを行う環境や実施するスクリプト、カナリアを実施する環境、カナリア完了の条件、実施時期の決定を誰がするかなどを記載することで、意思決定と対応を迅速にすることができるようになると思います。想定するシナリオも CVSS 評価値 Critical の場合などと、より詳細に設定することもできそうです。
計画では、自動化されたテストの実施、カナリア リリースを活用することが重要となります。

[PR] cybozu.com の運用においてカナリア リリースの手法を採用しています。まずは自社利用のドメインに対してパッチを適用し、問題ないことを確認した後で、パッチを全体に適用しています。
cybozu.com の運用体制に関する情報および稼働率実績を公開しています。

改善のためのメトリクス測定

資産の重要度、脆弱性の重要性。パッチ適用の割合、パッチ適用までの時間などを測定し、より重要なパッチが、迅速に適用されていること、比較的重要でないパッチは、適切な時期に適用されていることを測定し、継続的に改善することが推奨されています。

まとめ

  • ガイドの方針

    • 意思決定を簡素化する。テストなどは自動化する。

  • パッチ適用対象の整理

    • 利用しているソフトを把握、不要なソフトは削除する

    • 枯れたソフト・プラットフォームを使う

    • マネージド・クラウド サービスを利用する

  • パッチ マネジメント計画

    • 台帳管理をして、資産の特徴ごとにグループ分け

    • グループごとにシナリオを想定し、シナリオごとに計画を策定

    • 計画では、自動テストとカナリア リリースを活用する

  • パッチ マネジメント計画の改善

    • 重要な資産ほど、早くパッチが適用されていることを測定する

サイボウズのセキュリティ室は、今後も企業のセキュリティ組織に役立つガイドラインや、書籍の紹介記事を掲載していきます。この記事がよかった、参考になったと思われた方は「スキ」のクリックをお願いします。また、セキュリティ室の取り組みや、セキュリティニュース、サイボウズに受信した怪しいメールなどの情報をツイートしています。@CybozuSecurity のフォローもお願いいたします。

この記事が気に入ったらサポートをしてみませんか?