ホーム > 情報セキュリティ > パッチの旬はリリースから10日後と30日後?

パッチの旬はリリースから10日後と30日後?

 マイクロソフトの2005年2月のセキュリティ情報として緊急8件、重要3件、警告1件が公開された。

 更新プログラム(パッチ)が提供されているので、「さあ皆さんWindowsUpdateしましょう!」ということになるのだが、何でもすぐに適用するのが良いのかという点については検討が必要だ。パッチ適用の副作用でクリティカルなシステムに障害が発生することもないとは言えないからである。

 ところがそのような障害を想定して、誰も適用を控えてしまうとパッチに問題がないことも確認できないので、周囲に対しては「パッチを当てましょう」と訴えておいて、しばらく様子を見てから自分のパッチをあてるというのが、ずる賢い戦略である。

 実際企業のクリティカルなシステムについては、リリース直後にパッチを適用するというのは躊躇される。セキュリティ情報として公開される脆弱性にはパッチ適用以外のリスク回避方法がある場合も少なくないので、ファイアウォールの設定や不要な機能の停止で、一時期をしのいで落ち着いたところでパッチを適用するということもオプションとして考えられる。

 この判断を行うためには、脆弱性や起こりうるリスク、攻撃コードやワームの流通状況の確認など、ある程度の知識や経験が必要だ。この議論は昨年マイクロソフトのパネルディスカッション(参考1参考2)でも話したのだが、考えてみればマイクロソフトとしては立場上、社内で検証済みなので出たらすぐに適用してくださいとしか言えないのだろう。もちろん多くのユーザに適用してもらうことによってさらに検証が進むというメリットもある。

 家庭でメールとWebブラウジングにしか使っていないPCと、企業の会計や物流を扱うシステムを同列には考えられない。逆に言うとそのシステムがどのぐらいクリティカルで、現在動いているプロセスが止まったらどのようなリスクがあるかという判断は個々のユーザにしかできない。

 2002年のUSENIXで発表された論文では、パッチの旬はリリースから10日後と30日後とされている。ちょっと遅すぎるような気もするが、今となっては古いデータに基づく限定されたケースの分析なので、実際には個々のケースの旬は対象システムの重要性、脆弱性のリスク、リスク回避の代替案、パッチの品質を天秤にかけながら自分で判断する必要がある。

 とりあえず自宅のPCはクリティカルサービスを運用しているわけではないので、WindowsUpdateをかけた。今のところ不具合はないようだ。

【参考情報】
2005年2月のセキュリティ情報(マイクロソフト)
http://www.microsoft.com/japan/technet/security/bulletin/ms05-feb.mspx

修正パッチはすぐに適用すべき!? ~セキュリティパネルディスカッション
http://internet.watch.impress.co.jp/cda/event/2004/06/02/3346.html

現場の声はMSに届いたか? セキュリティパネルディスカッション
http://www.itmedia.co.jp/enterprise/articles/0406/03/news009.html

Timing the Application of Security Patches for Optimal Uptime.
S.Beattie, S.Arnold, C.Cowan, P.Wagle, and C.Wright.
Proceedings of LISA ’02: Sixteenth Systems Administration Conference,
(Berkeley, CA: USENIX Association, 2002)
http://www.usenix.org/events/lisa02/tech/full_papers/beattie/beattie_html/

カテゴリー: 情報セキュリティ タグ:
  1. 2005 年 2 月 9 日 19:01 | #1

    大規模攻撃に対する警戒態勢

    ■コメント
    韓国、中国からの攻撃に備えて….
    以下の事象から、日本に対するインターネットへの攻撃が予想されます。
    各セキュリティベンダーは、この攻撃に…

  1. トラックバックはまだありません。

CAPTCHA