脆弱性管理とパッチ管理は同じにあらず

avatar

 2019.10.03  Japanブログ編集部

脆弱性管理パッチ管理は製品ではありません。それらはプロセスです。そして製品とはプロセスを可能にするために使用されるツールです。

ハンマーと釘、木材を買ったからといって勝手に家が建つわけではありません。建築のプロセスを踏んだり、家を建ててくれる職人を雇ってはじめて家が建つわけです。

脆弱性管理製品とパッチ管理製品はしばしば一緒くたに扱われ、同じ製品の一部と見なされます。それらの製品には互換性がありますが、同じではありません。脆弱性管理製品とパッチ管理製品は、目的と目標が異なる個別の製品であり、それぞれのプロセスをサポートするために使用されます。

パッチ管理は、資産上のソフトウェア、オペレーティングシステム、およびアプリケーションを論理的に更新するために使用されるプロセスです。パッチ管理システムの目的は、資産上の不足しているパッチを明示して分類し、優先順位を付けることです。

パッチとは、具体的にはベンダー提供のアップデートです。パッチにはセキュリティフィックスから新機能まで、さまざまなものが含まれます。ベンダーは、パッチに含めるものについてポリシーを設定し、すべての変更および追加をreadmeファイルに記述する必要があります。すべてのパッチにセキュリティフィックスが含まれているわけではありません。また、すべてのパッチで、記載されているセキュリティの問題が修正されるわけでもありません。パッチ管理ツールを持っているだけでは安全が確保できない理由はここにあります。

脆弱性管理は、ネットワーク上の資産を検出し、資産上のOSとアプリケーションを分類して、対象システムのセキュリティの脆弱性を報告するプロセスです。脆弱性管理製品は資産をスキャンし、発見された既知の脆弱性とともに、修復のためのアドバイスを報告します。

脆弱性の修正としては通常、脆弱なシステムに対するパッチの適用を行います。また、設定の変更を行ったり、脆弱なサービスを無効化したり、あるいはIPS(侵入防御)デバイスを使用して脆弱性の悪用を防ぐこともできます。

システムにパッチを適用した後は、繰り返しスキャンを行い、脆弱性が存在しなくなったことを確認します。これは非常に重要なステップです。なぜならば、パッチが脆弱なコンポーネントの上書きや削除に失敗したり、手動の修正作業が必要であったり、複数のパッチを適用しないと完全に脆弱性を削除できない場合があるためです。

1つの脆弱性/パッチ管理製品を両方の用途に利用することは、平底船に車を括りつけようとするようなものです。あまり現実的であるとは言えません。それどころか、1960年代に西ドイツで製造されていた水陸両用車アンフィカー(欠陥が多く数年で生産終了した)のようになりかねません。それは、一見ステキな乗り物でしたが、車としてもボートとしても不十分でした。

脆弱性管理ツールは脆弱性を検出するために設計されたもので、どのパッチがインストールされているかといった情報を提供するようには設計されていません。管理者がパッチの説明を誤って解釈したり、組織がツールを使用して脆弱なコンポーネントすべてにパッチを適用することを怠っていることが多くあります。

それにより不正確な誤検知レポートが生成されます。組織が各ツールの仕組みと、それらの違いをよく理解することで、混乱と時間の浪費を回避できます。

Tripwire IP360は優れた脆弱性管理ツールです。Tripwireの脆弱性調査チームVERTは、あらゆるセキュリティ情報を提供し、脆弱なシステムと脆弱ではないシステムに対してテストを行って正確性を検証しています。これにより、誤検知率を低く抑え(2018年では0.02%)、潜在的な脆弱性または存在しない脆弱性を追跡する時間を節約しています。

IP360は、ファイル、レジストリキー、ファームウェアなどのさまざまなシステムコンポーネントを調べて、資産の脆弱性の状態を判断します。誤検知が発生した場合、パッチが正しく適用されていないか、あるいは未修復の脆弱なコンポーネントが存在しているということを意味します。

Tripwire Dynamic Software Reconciliation(DSR)はTripwire Enterprise(TE)用のリコンシリエーションツールです。このツールにより、変更管理マネージャーやTE管理者は、正当なOSまたはソフトウェアパッチ/アップグレードに関連付けて、特定の変更の原因を解明できるようになります。

このツールを使用して、管理者はパッチを簡単に追跡し、変更管理機能を使用して自動的に処理できます。

トリップワイヤ・ジャパンでは脆弱性管理、法規制遵守、インシデント対応やサイバーセキュリティに関する有益な情報をお届けしております。すべてのカタログ、セキュリティに関する情報はこちらからダウンロードいただけます。Tripwireセキュリティ リソース
TRIPWIRE IP360 データシート

RECOMMEND関連記事

RECENT POST「脆弱性管理」の最新記事

VERT

2020.04.09

VERT 脅威アラート – 2020年3月パッチプライオリティ指標(Patch Priority Index:PPI) (英語版)
脆弱性管理

2020.04.07

レッドチームの活用:サイバー演習を効果的に実施するには
脆弱性管理

2020.03.31

脆弱性スキャン vs. ペネトレーションテスト
VERT

2020.03.03

VERT 脅威アラート – 2020年2月パッチプライオリティ指標(Patch Priority Index:PPI) (英語版)
この記事が気に入ったらいいねしよう!

Navigation
© 2024 Tripwire Japan K.K.
All Rights Reserved.