セキュリティパッチの重要性
- tw-sales
- 11月13日
- 読了時間: 4分
皆さんは、日々セキュリティパッチをあてていますでしょうか。
私たちが手洗いうがいを心掛けなければウイルスに感染しやすくなるように、セキュリティの世界でもパッチを当てていないシステムは攻撃を受けやすくなってしまいます。
パッチとは、ソフトウェアやシステムの不具合や脆弱性を修正するために提供される更新プログラムのことで、配布されたセキュリティパッチを速やかに適用することは、基本でありながら非常に重要な対策です。
「パッチ?何それ?」という方も、
「通知は出てるけど後回しにしてしまう…」という方も、ぜひ一度ご一読ください。
パッチ(Patch)とは?
あらためてパッチについて説明すると、パッチとはソフトウェアの欠陥を修正するための更新プログラム のことです。
不具合(バグ)や、セキュリティの弱点(脆弱性)、動作の改善、新しい機能の追加など、
こうした問題を直したり改善したりする「修正ファイル」のことをパッチと呼びます。
そんなパッチですが、実は「対策の必要性を感じたことがない」という方も多く、IPAの調査では、企業規模が小さいほどパッチを適用していないと回答する割合が増えています。その大きな理由としては、パッチの適用に多大なコストがかかること、パッチを適用しなくても問題無いと判断した、といったことが挙げられます。
セキュリティパッチの適用状況
なぜパッチが必要なのか?
理由は大きくわけて以下の2つです。
① セキュリティ上の問題を防ぐため
② システムの安定性向上
①について、多くのサイバー攻撃は、「未パッチの脆弱性(まだ修正されていない弱点)」を狙って侵入してきます。Windowsに残っていた古い脆弱性がランサムウェアに悪用されたり、Chromeのゼロデイ脆弱性によって、アクセスしただけで感染が成立してしまったりします。こうした攻撃を未然に防ぐために、パッチによって脆弱性をふさぐというアクションが重要になります。
IPAの調査によると、中小企業における不正アクセス被害の約48%が脆弱性を突かれたもので、そのうち半数近くはセキュリティパッチの未適用が原因となっています。
つまり、「パッチをあてていれば防げた攻撃」が非常に多いということです。
推奨されるアクションとは?
パッチの重要性が分かっても、「では実際に何をすればいいのか」という点が曖昧だと、なかなか対応が進みません。最後に、現場でまず取り組みやすい推奨アクションをまとめてご紹介します。
ただ、ここについてあまり詳しく説明しすぎると「難しそう」「手間がかかりそう」と感じてしまう方もいらっしゃいますので、まずは次の4つだけ意識してみてください。
・更新通知が出たら無視しない
・再起動は後回しにしない
・月1回 メンテの日 を作る
・自動更新を活用する
この4つを習慣化するだけでも、セキュリティリスクは大きく下げられます。
パッチは「セキュリティの穴をふさぐ」という防御の役割に加え、「システムを健全に保つ」という品質向上の役割も兼ね備えた、非常に重要な仕組みです。
皆さん、ぜひ挑戦してみてください!
ーーー
日々の業務では、すべての脆弱性情報を追うことは簡単ではありません。そこで、最低限確認しておくと安心な信頼性の高い情報源を以下にまとめましたので、こちらも併せてご覧ください。
① IPA(独立行政法人 情報処理推進機構)
脆弱性・パッチ情報を日本語で分かりやすく掲載しています。
脆弱性対策情報データベース(JVN iPedia)
脆弱性関連情報(JVN)
② JPCERT/CC(Japan Computer Emergency Response Team)
サイバー攻撃の注意喚起や脆弱性情報を公開しています。
JPCERT/CC 脆弱性関連文書
Weekly Report(毎週の脆弱性まとめ)
③ Microsoft / Chrome / Adobe など主要ベンダーの公式情報
Microsoft セキュリティ更新プログラム
Google Chrome リリース情報
Adobe セキュリティ情報
